Luka w routerach - 1,2 mln Polaków może stracić swoje oszczędności

O wyłudzeniach i kradzieżach pieniędzy z kont bankowych w Polsce co jakiś czas robi się głośno. Zwłaszcza jeśli chodzi o duże banki, takie jak PKO BP, czy akcje przeprowadzone na dużą skalę. W styczniu jeden ze specjalistów do spraw bezpieczeństwa - Abdelli Nassereddine – opublikował raport na temat poważnej luki w routerach wykorzystujących  firmware ZyNOS od firmy ZyXEL. Dziura jest poważna i dotyczy routerów popularnych firm, między innymi TP-Link, D-Link, Pentagram i kilku innych. Błąd teoretycznie znany jest od 2004 r. lecz dopiero teraz, po serii ataków i kradzieży wykorzystujących tą lukę, zrobiło się o niej głośno.

Na czym polega problem? Otóż w przypadku niektórych routerów istnieje możliwość dostania się bez uwierzytelniania do podstrony pozwalającej wygenerować backup konfiguracji routera, wygenerowania go oraz odczytu tego pliku. Zatem każdy internauta znający adres IP może wygenerować backup routera podatnego na ataki, a następnie pobrać pliki z danymi, rozkodować jednym z dostępnych programików i odczytać takie informacje, jak np. hasło administratora routera.

Co to ma wspólnego z naszymi pieniędzmi umieszczonymi w banku? O tym na własnej skórze przekonało się ostatnio wiele osób, jedna z nich straciła kilka dni temu 16 tys zł. Osoba, która zdobędzie hasło administratora routera, może się do niego zalogować od strony internetu i np. przekierować połączenie z bankiem na wybrany przez siebie serwer podmieniając DNS-y serwerowane z DHCP ( tzw. atak phishing/pharming).

Oczywiście samo przekierowanie nie wystarczy, by pozbawić nas pieniędzy. Większość poszkodowanych dodatkowo padła ofiarą tzw. socjotechniki. Ofierze zazwyczaj poprzez wiadomości mailowe lub komunikaty wyświetlane na fałszywej stronie sprzedawana jest historia, np. o koniecznej aktualizacji danych na koncie, dodaniu nowego numeru rachunku z powodu połączenia banków itp. Celem jest wyłudzenie jednorazowego hasła SMS-owego, które ofiara wpisuje na fałszywej stronie, a atakujący robi z niego „pożytek”, zazwyczaj definiując nowy „przelew zaufany”, którego wykonywanie nie musi być potwierdzane za każdym razem jednorazowym kodem z SMS-a. I wyprowadza pieniądze z konta.

Jak uchronić się przed atakiem? Przede wszystkim należy sprawdzić, czy do naszego routera można się dostać z zewnątrz oraz czy pliki backupu są dostępne bez uwierzytelniania. Firma Orange udostępniła proste narzędzie, które skontroluje nasz sprzęt w tym kierunku. Wystarczy wejść na stronę CERT Orange i kliknąć przycisk Skanuj. Narzędzie sprawdza, czy jest jakaś odpowiedź na porcie 80 naszego routera. Jeśli nie ma, otrzymamy komunikat:

Jeśli jest, to skontroluje, czy bez uwierzytelniania można się dostać do kluczowych plików rpFWUpload.html oraz rom-0.

Co zrobić, jeśli nasz router jest podatny na skutki wyżej opisanej luki?

• zablokuj dostęp do panelu administracyjnego routera z Internetu
• przekieruj port 80 routera na nieistniejące lub znane Ci i bezpieczne lub
• rozważ instalację innego firmware'u, np. DD-WRT, jeśli jest wspierany przez Twój model routera

Warto pamiętać, że nie są to metody, dające 100% pewności, że router oprze się innym atakom wykorzystującym „dziurawy” firmware. Logując się na stronę swojego banku zawsze zwracaj uwagę, czy wygląda ona tak, jak powinna i czy obok paska adresu strony znajduje się „kłódeczka” świadcząca o połączeniu szyfrowanym certyfikatem SSL.

Źródło: SecurityTracker, CERT Orange, ROOT@NASRO, Niebezpiecznik