Napadený router TP-Link

CSIRT.cz informuje o prvním českém útoku pozměňujícím DNS server v nastavení routeru, kvůli čemuž byl uživatel přesměrován na podvodné stránky. Konkrétně jde o ADSL router TP-Link TD-W8901G, u něhož byl jako primární DNS nastaven 192.99.14.108. Při návštěvě google.cz a seznam.cz se uživatel dostal na zavirovanou phishingovou stránku.

V zahraničí už tyto útoky proběhly, v Česku jde o první známý. Příčiny napadení routeru zatím CSIRT neobjevil, administrátorské heslo měl uživatel dostatečně složité. Experti podezřívají známou zranitelnost CSRF, ale více budou vědět, až se k napadenému kusu dostanou.

Zdroj: http://www.cnews.cz/napadeny-router-tp-linku-uz-i-v-cesku-presmerovava-provoz-na-podvodne-stranky

Předmět	Autor	Datum
jak jsem klikal na další odkazované články, zranitelnost se týká snad všech soho řad tplinku. (jen u… lední brtník 12.05.2014 20:19	lední brtník	12.05.2014 20:19
Kolega mysliac, že má napadnutý systém ho radšej sformátoval. Nepomohlo. Pri prihlásení do banky, to… sakraforte 16.05.2014 15:25	sakraforte	16.05.2014 15:25
Týká se to tedy jen DSL? Co když mám klasický WAN, navíc dynamický? To by si snad měl ošéfovat ISP,… mif 16.05.2014 22:25	mif	16.05.2014 22:25
co jsem se doklikal, nějaká zranitelnost se týká prakticky všech řad (zmíněný adsl, 700, 1043, 3600)… lední brtník 17.05.2014 13:09	lední brtník	17.05.2014 13:09
Pozor ale na zařízení (dnes už nejen DSL), která mají TR069, tam je to defaultně povoleno (a neplatí… touchwood 19.05.2014 12:06	touchwood	19.05.2014 12:06
Dnešní zprávy: http://www.cnews.cz/az-5000-ceskych-routeru-ohrozu je-vazna-bezpecnostni-chyba-jak-ji… poslední Nol 23.05.2014 17:05	Nol	23.05.2014 17:05

jak jsem klikal na další odkazované články, zranitelnost se týká snad všech soho řad tplinku. (jen u nejnovějších modelů se přitom dá vyhlížet nový firmware)
takže kdo používal vzdálený přístup z wan strany, zakázat nebo přeflashovat alternativním firmwarem.
nebo doufat, že ho nenajdou.

Kolega mysliac, že má napadnutý systém ho radšej sformátoval. Nepomohlo. Pri prihlásení do banky, to chcelo od neho ďalšie údaje. Nakoniec zistil zmenený DNS server v routri. Kontaktoval banku a tá mu potvrdila viac takýchto prípadov.

Kde sa to ale hrabe na NSA http://www.itnews.sk/tituly/infoware/2014-05-15/c1 63148-reportaz-z-chaos-communication-congress-zabu dnite-na-sukromie
http://www.itnews.sk/spravy/bezpecnost/2014-05-14/ c163135-nsa-udajne-instaluje-spyware-do-routerov-a -serverov-made-in-usa

Týká se to tedy jen DSL? Co když mám klasický WAN, navíc dynamický? To by si snad měl ošéfovat ISP, ne? Konkrétně v routeru: statická IP, ale načuchávána přes dynamic WAN od ISP. V LAN klientech (v OS mých počítadel) nastaveno TCP/IP ručně, tedy včetně DNS. IMHO mě chrání jednak ISP (nedovedu si představit, že by přes jeho server proteklo takové zvěrstvo), druhak konkrétní nastavení nameserverů na každém stroji (nemá to náhodou prioritu?). Su klidný

co jsem se doklikal, nějaká zranitelnost se týká prakticky všech řad (zmíněný adsl, 700, 1043, 3600)
útoky spoléhají hlavně na povolenou vzdálenou administraci z wan strany, ta je default zakázaná.
když na wan správě člověk trvá, mít letošní (nebo alternativní) firmware. zranitelnost byla nalezena i u verzí z r. 2013

jo, i když zbytek nastavení dostane uživatel z dhcp od potenciálně napadeného routeru, lokální předvolba dns platí.
zatímco spoléhat na isp nemá cenu, proč ten by něco furt sledoval a filtroval.

Pozor ale na zařízení (dnes už nejen DSL), která mají TR069, tam je to defaultně povoleno (a neplatí jen pro tplink).

Dnešní zprávy:
http://www.cnews.cz/az-5000-ceskych-routeru-ohrozu je-vazna-bezpecnostni-chyba-jak-ji-opravit

Zpět na aktuality Přidat komentář k aktualitě Nahoru