Bezpieczeństwo

Luka w routerach - 1,2 mln Polaków może stracić swoje oszczędności

z dnia
Diana Socha | Redaktor serwisu benchmark.pl
50 komentarzy Dyskutuj z nami

Dziurawy firmware routerów TP-Link, D-Link i innych - narzędziem kradzieży.

Luka w routerach

O wyłudzeniach i kradzieżach pieniędzy z kont bankowych w Polsce co jakiś czas robi się głośno. Zwłaszcza jeśli chodzi o duże banki, takie jak PKO BP, czy akcje przeprowadzone na dużą skalę. W styczniu jeden ze specjalistów do spraw bezpieczeństwa - Abdelli Nassereddine – opublikował raport na temat poważnej luki w routerach wykorzystujących  firmware ZyNOS od firmy ZyXEL. Dziura jest poważna i dotyczy routerów popularnych firm, między innymi TP-Link, D-Link, Pentagram i kilku innych. Błąd teoretycznie znany jest od 2004 r. lecz dopiero teraz, po serii ataków i kradzieży wykorzystujących tą lukę, zrobiło się o niej głośno.

Na czym polega problem? Otóż w przypadku niektórych routerów istnieje możliwość dostania się bez uwierzytelniania do podstrony pozwalającej wygenerować backup konfiguracji routera, wygenerowania go oraz odczytu tego pliku. Zatem każdy internauta znający adres IP może wygenerować backup routera podatnego na ataki, a następnie pobrać pliki z danymi, rozkodować jednym z dostępnych programików i odczytać takie informacje, jak np. hasło administratora routera.

Co to ma wspólnego z naszymi pieniędzmi umieszczonymi w banku? O tym na własnej skórze przekonało się ostatnio wiele osób, jedna z nich straciła kilka dni temu 16 tys zł. Osoba, która zdobędzie hasło administratora routera, może się do niego zalogować od strony internetu i np. przekierować połączenie z bankiem na wybrany przez siebie serwer podmieniając DNS-y serwerowane z DHCP ( tzw. atak phishing/pharming).

Oczywiście samo przekierowanie nie wystarczy, by pozbawić nas pieniędzy. Większość poszkodowanych dodatkowo padła ofiarą tzw. socjotechniki. Ofierze zazwyczaj poprzez wiadomości mailowe lub komunikaty wyświetlane na fałszywej stronie sprzedawana jest historia, np. o koniecznej aktualizacji danych na koncie, dodaniu nowego numeru rachunku z powodu połączenia banków itp. Celem jest wyłudzenie jednorazowego hasła SMS-owego, które ofiara wpisuje na fałszywej stronie, a atakujący robi z niego „pożytek”, zazwyczaj definiując nowy „przelew zaufany”, którego wykonywanie nie musi być potwierdzane za każdym razem jednorazowym kodem z SMS-a. I wyprowadza pieniądze z konta.

Jak uchronić się przed atakiem? Przede wszystkim należy sprawdzić, czy do naszego routera można się dostać z zewnątrz oraz czy pliki backupu są dostępne bez uwierzytelniania. Firma Orange udostępniła proste narzędzie, które skontroluje nasz sprzęt w tym kierunku. Wystarczy wejść na stronę CERT Orange i kliknąć przycisk Skanuj. Narzędzie sprawdza, czy jest jakaś odpowiedź na porcie 80 naszego routera. Jeśli nie ma, otrzymamy komunikat:

Jeśli jest, to skontroluje, czy bez uwierzytelniania można się dostać do kluczowych plików rpFWUpload.html oraz rom-0.

Co zrobić, jeśli nasz router jest podatny na skutki wyżej opisanej luki?

  • zablokuj dostęp do panelu administracyjnego routera z Internetu
  • przekieruj port 80 routera na nieistniejące lub znane Ci i bezpieczne lub
  • rozważ instalację innego firmware'u, np. DD-WRT, jeśli jest wspierany przez Twój model routera

Warto pamiętać, że nie są to metody, dające 100% pewności, że router oprze się innym atakom wykorzystującym „dziurawy” firmware. Logując się na stronę swojego banku zawsze zwracaj uwagę, czy wygląda ona tak, jak powinna i czy obok paska adresu strony znajduje się „kłódeczka” świadcząca o połączeniu szyfrowanym certyfikatem SSL.

Źródło: SecurityTracker, CERT Orange, ROOT@NASRO, Niebezpiecznik

Komentarze

50
Zaloguj się, żeby skomentować
avatar
Dodaj
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    Legendy Miejskie.
    A tu rząd Tuska kradnie wam dzisiaj kasę z OFE bez pomocy routerów itp.
    I to od razu 16 milionom POlaków, che, che, che
    26
  • avatar
    Czytając całą procedurę tej kradzieży nasuwa się tylko jedna myśl -> za debilizm w końcu się płaci i to finansowo.
  • avatar
    Orange ... genialne narzędzie, nie mogę wyjść z podziwu dla ich twórczości ... to rzecz jasna ironicznie. Tak na 99% przeciętny użytkownik nie wystwia światu routera bo zazwyczaj nie ma publicznego IP, nie zmieniał żadnej z defaultowych opcji które nie wywalają go na świat lub po prostu nie ma pojęcia co tu jest napisane.

    Ja np wystawiam na świat router ale przecież nie po :80 i na pewno nie na
    fabrycznym sofcie, Tomato 4 llife ;)
  • avatar
    No,żeby nam ukradli kasę to tzreba wpisać hasło na fałszywej stronie.Wychodzi na to,że to soft takiego użytkownika posiada poważną lukę...
  • avatar
    normalka, TP-Link, D-Link i Pentagram to najtańsze najgorsze g***o, dobre kosztują kilka razy więcej
    -7
  • avatar
    a jak rozpoznasz falszywa strone skoro twoj router bedzie bral ip strony z jakiejs wpisanej przez zlodzieja mu na stale tablicy DNS albo z serwera DNS podstawionego przez zlodzieja a nie z oficjalnej sieci DNS?

    wyludzenie SMS jest prostsze nisz sie wydaje. jak kogos to nie spotka to mu sie wydaje "nie, ja jestem na to za madry"...wielu by sie zdziwilo

    mnie ciekawi co innego: jak zlamac weryfikacje przelewowa na tokenach np?
  • avatar
    Oppps, Bagsika oczywiscie.
  • avatar
    Pieprzycie byle o czym bo nie macie o czym chyba pisać.
    Jak by router miał być narzędziem pośredniczącym które wymaga zabezpieczeń przed hakerem z Pauli Nowej Gwinei. Przed sąsiadem podkradającym sygnał z internetu tak - jeszcze sens kupna nie wadliwego WIFI widzę ale nie przed hakerem Putina.