Některé routery TP-Link mají vážný bezpečnostní problém
4.11.2013, Jan Vítek, aktualita
Nově objevený bezpečnostní problém týkající se routerů TP-Link už prý přinesl větší počet pokusů, které se snaží o ovládnutí router pomocí kódu na různých webových stránkách. Takových stránek je dle Jacoba Lella, který na problém upozornil,...
Nově objevený bezpečnostní problém týkající se routerů TP-Link už prý přinesl větší počet pokusů, které se snaží o ovládnutí router pomocí kódu na různých webových stránkách. Takových stránek je dle Jacoba Lella, který na problém upozornil, již minimálně pět, které spolu jinak vůbec nesouvisí, čili je pravděpodobné, že se o zneužití routerů snaží více lidí.
Zatím není jasné, o co přesně se lidé stojící za těmito útoky snaží. Faktem je, že nový exploit zkouší změnit adresu nameserveru (DNS) na routeru na jednu či více ze tří jistých IP adres. Problém samotných routerů je v tzv. Cross-site request forgery (CSRF) a přístupu k jejich nastavení pomocí protokolu HTTP. Dnešní prohlížeče se při zadávání jména a hesla, pokud už nebylo uložen, obvykle zeptatjí na to, zda je chceme pro snadnější přístup v budoucnu uložit. I když nechceme, browser si stejně heslo dočasně uloží pro okamžitý přístup. Pokud poté uživatel navštíví stránku s jistým kódem, ten mu může na routeru změnit adresu DNS a následně řídit provoz.
Očividně je pak možné namísto správně přeloženého URL přesměrovat uživatele na stránky, které by jinak nenavštívil, a vystavit jej tak phishingu či dalším hrozbám. Uživatel si tak ani nemusí všimnout, že zadává heslo na stránkách, které se jen tváří jako jeho e-mailová či jiná služba. Co se týče samotných routerů, které jsou ohroženy, zatím bylo zjištěno toto:
Otázkou je, jak jsou na tom další zatím neotestované routery TP-Link a jejich firmwary. Lell na svém blogu nabízí dole návod, díky kterému zjistíte, zda je váš router možné takto napadnout. A pokud ano, obrana proti tomu je před příchodem nové verze firmwaru celkem snadná. Stačí neukládat heslo pro přístup k webovému rozhraní routeru do prohlížeče a poté, co dokončíte změny, je nutné prohlížeč restartovat.
Zdroj: Hexus.net
Zatím není jasné, o co přesně se lidé stojící za těmito útoky snaží. Faktem je, že nový exploit zkouší změnit adresu nameserveru (DNS) na routeru na jednu či více ze tří jistých IP adres. Problém samotných routerů je v tzv. Cross-site request forgery (CSRF) a přístupu k jejich nastavení pomocí protokolu HTTP. Dnešní prohlížeče se při zadávání jména a hesla, pokud už nebylo uložen, obvykle zeptatjí na to, zda je chceme pro snadnější přístup v budoucnu uložit. I když nechceme, browser si stejně heslo dočasně uloží pro okamžitý přístup. Pokud poté uživatel navštíví stránku s jistým kódem, ten mu může na routeru změnit adresu DNS a následně řídit provoz.
Očividně je pak možné namísto správně přeloženého URL přesměrovat uživatele na stránky, které by jinak nenavštívil, a vystavit jej tak phishingu či dalším hrozbám. Uživatel si tak ani nemusí všimnout, že zadává heslo na stránkách, které se jen tváří jako jeho e-mailová či jiná služba. Co se týče samotných routerů, které jsou ohroženy, zatím bylo zjištěno toto:
- TP-Link WR1043ND V1 s firmware 3.3.12 build 120405 (verze 3.3.13 build 130325 a pozdější je v pořádku)
- TP-Link TL-MR3020 s firmware 3.14.2 Build 120817 Rel.55520n a verze 3.15.2 Build 130326 Rel.58517n (ve výchozím nastavení ale prý nejsou ohroženy)
- TL-WDR3600 s firmware 3.13.26 Build 130129 Rel.59449n and verze 3.13.31 Build 130320 Rel.55761n (ve výchozím nastavení ale prý nejsou ohroženy)
- WR710N v1: 3.14.9 Build 130419 Rel.58371n je v pořádku
Otázkou je, jak jsou na tom další zatím neotestované routery TP-Link a jejich firmwary. Lell na svém blogu nabízí dole návod, díky kterému zjistíte, zda je váš router možné takto napadnout. A pokud ano, obrana proti tomu je před příchodem nové verze firmwaru celkem snadná. Stačí neukládat heslo pro přístup k webovému rozhraní routeru do prohlížeče a poté, co dokončíte změny, je nutné prohlížeč restartovat.
Zdroj: Hexus.net
