Článek
Podle prvních ohlasů to vypadalo, že router může být napaden, pokud nemá uživatel nastaveno silné přístupové heslo k jeho konfiguraci. Tedy zpravidla pokud lidé nechají tovární nastavení. První zaznamenaný případ v České republice však ukázal, že to není tak docela pravda.
Napadeny mohou být i síťové prvky, které obsahují chyby ve firmwaru. To jsou výsledky analýzy týmu CSIRT, který měl k dispozici infikované zařízení – TP-LINK TD-W8901GB.
„Router TP-LINK TD-W8901GB obsahuje, mimo jiné, zranitelnost 'rom-0'. Ve zkratce jde o to, že router umožňuje vyexportovat a stáhnout svojí konfiguraci v podobě binárního souboru. Součástí konfigurace jsou mimo jiné i přístupová hesla k webovému administračnímu rozhraní. Chyba pak spočívá v tom, že tento soubor lze stáhnout, aniž je před tím vyžadováno heslo – stačí pouze znát URL tohoto souboru,“ uvedl Tomáš Hlaváček, programátor a výzkumník sdružení CZ.NIC, které provozuje národní bezpečnostní tým CSIRT.
Při výchozím nastavení routeru je možné konfiguraci stáhnout z celého internetu.
Podle něj je tato chyba kritická mimo jiné i proto, že výrobce už nevydává žádné bezpečnostní aktualizace. „Při výchozím nastavení routeru je možné konfiguraci stáhnout i přes WAN rozhraní, tedy z celého internetu. Router TP-LINK TD-W8901GB se prodával mezi lety 2008 a 2011 a v současné době již není výrobcem podporovaný a tím pádem pro něj ani nejsou vydávány bezpečnostní updaty,“ konstatoval Hlaváček.
Podle analýzy sdružení CZ.NIC byl nejnovější firmware pro toto zařízení vydán 20. srpna 2010 (build 100820) a chybu stále obsahuje. „V ČR byly tyto routery ve své době oblíbené a v současnosti je, podle našich měření, v provozu jen v ČR na 5000 těchto zařízení, která trpí zmíněnou zranitelností,“ podotkl výzkumník sdružení CZ.NIC.
Útočník přesměruje internetové adresy
Všichni tito lidé jsou tedy v ohrožení. Pokud se útočník dostane k administračnímu rozhraní jejich routeru, může snadno přesměrovat adresy. A přesně to v posledních týdnech kyberzločinci dělají. Místo serverů Seznam.cz nebo Google.com se jim pak zobrazí hláška o nutnosti instalace flash playeru. Místo té se ale do PC stáhne virus.
„Proto CSIRT.CZ navrhuje, jako bezpečnostní opatření, úplně zakázat přístup na webovou administraci z WAN rozhraní a v ideálním případě povolit administraci jen z jedné konkrétní vnitřní IP adresy,“ poradil Hlaváček.
Podrobný návod, jak správně nastavit router TP-LINK TD-W8901GB, naleznete v tabulce níže. Pokud si nejste jisti, jak správně router nastavit, je vhodné tuto činnost přenechat odborníkovi.
Návod na správné nastavení routeru |
---|
1. V první řadě se přihlaste do webového rozhraní routeru. Pokud neznáte heslo nebo vám heslo změnil útočník, který vás už stihl navštívit, proveďte factory reset podržením reset tlačítka na zadní straně routeru po dobu pěti sekund. Po factory resetu bude uživatelské jméno „admin“ a heslo „admin“. |
2. Přejděte do nastavení Access Management a do záložky ACL. |
3. Aktivujte ACL (nastavte „ACL“ na „Activated“). Vytvořte ACL záznam s indexem 1, nastavte „Active“ na „Yes“, nastavte adresy své vnitřní sítě, případně vyberte adresu konkrétního počítače či počítačů, které mají mít přístup na administraci. (V příkladu volíme výchozí adresy 192.168.1.2 – 192.168.1.254.) Nastavte „Application“ na „ALL“ a „Interfaces“ na „Both“. |
4. Nastavení uložte tlačítkem Save. |
PŘEHLEDNĚ: Jak probíhá útok na router?
1. Internetem se šíří virus, který cílí na routery. Napadnout tyto brány do světa internetu může buď přímo při procházení zavirovaných webů, nebo prostřednictvím některého počítače v dané síti, který je již zavirován.
2. Ve chvíli, kdy se virus zabydlí v routeru, dokáže zcela zablokovat internetové připojení na všech počítačích, a to i chytrých mobilech a tabletech, zapojených v síti.
3. U většiny doposud zaznamenaných útoků virus začal následně zobrazovat výzvu k instalaci aktualizace flash playeru. Snaží se tak vzbudit dojem, že stránky nejdou spustit právě kvůli neaktuálnosti pluginů.
4. Výzva se zobrazovala i v případech, že byly do adresního řádku zadány regulérní weby, které ve skutečnosti k zobrazování obsahu flash player nepotřebují – například Seznam.cz nebo Google.com.
5. Místo aktualizace si lidé stáhnou do počítače virus. Zobrazování hlášek i na regulérních webech je možné právě kvůli tomu, že kyberzločinci ovládají přímo samotný router. Ve skutečnosti tedy žádné ze zadaných serverů vir neobsahují.
6. I když antiviry z napadeného počítače virus odstraní, stále nemají uživatelé vyhráno. Zdroj dalších hrozeb se totiž ukrývá přímo v samotném routeru. A k němu nemá drtivá většina bezpečnostních aplikací vůbec žádný přístup.
7. Řešením je uvést router do továrního nastavení. Jak na to se lidé dozvědí z návodů dodávaných k zařízení. Pokud si nejsou uživatelé jisti, jak správně router nastavit, je vhodné tuto činnost přenechat odborníkovi.
8. Není vyloučeno, že chování viru útočníci upraví. Tím, že se nachází přímo v routerech, může totiž i přesměrovávat stránky na podvodné weby. V takovém případě pak kyberzločinci mohou získat přístup ke všem on-line účtům.
9. Pokud pozorujete ve své síti podobné problémy, můžete zjistit velmi snadno, zda je router zavirován pomocí chytrého telefonu. Místo WiFi se stačí připojit k webu prostřednictvím mobilního připojení. Pokud se výzva k instalaci aktualizace nezobrazí, je router zavirován.