Poważne luki w popularnych modelach routerów

13-04-2015, 13:39

Korzystasz z routera firmy TP-LINK lub Belkin? Ostatnio wykryte luki dobitnie pokazują, że producenci tanich urządzeń nieszczególnie się przejmują ich odpowiednim zabezpieczaniem.

Z informacji podawanych przez Zaufaną Trzecią Stronę wynika, że wykorzystanie nowo odkrytych błędów nie wymaga od atakującego dużych umiejętności.

W przypadku routerów firmy TP-LINK wystarczy połączyć się z portem 80, wydać odpowiednie polecenie i już można odczytać lokalne pliki urządzenia, nawet ten z hasłem administratora. Bardziej szczegółowe informacje są dostępne na liście Full Disclosure w zgłoszeniu od firmy SEC Consult. Oto zestawienie podatnych modeli:

TP-LINK Archer C5 (hardware ver. 1.2) TP-LINK TL-WR740N (hardware ver. 5.0)
TP-LINK Archer C7 (hardware ver. 2.0) TP-LINK TL-WR741ND (hardware ver. 5.0)
TP-LINK Archer C8 (hardware ver. 1.0) TP-LINK TL-WR841N (hardware ver. 9.0)
TP-LINK Archer C9 (hardware ver. 1.0) TP-LINK TL-WR841N (hardware ver. 10.0)
TP-LINK TL-WDR3500 (hardware ver. 1.0) TP-LINK TL-WR841ND (hardware ver. 9.0)
TP-LINK TL-WDR3600 (hardware ver. 1.0) TP-LINK TL-WR841ND (hardware ver. 10.0)
TP-LINK TL-WDR4300 (hardware ver. 1.0)  

Producent udostępnił już poprawki dla wszystkich wymienionych wyżej urządzeń. Warto pamiętać, że routery nie aktualizują swego oprogramowania automatycznie - posiadacze podatnych modeli muszą zainstalować łatki ręcznie. Dobrym pomysłem jest także zablokowanie możliwości zarządzania routerem spoza sieci lokalnej. Szczegółowy opis tej czynności powinien znajdować się w instrukcji obsługi urządzenia.

W przypadku routerów firmy Belkin wystarczy wysłać jedno zapytanie, by poznać wszystkie dane potrzebne do wygenerowania kodu PIN usługi WPS, a stąd już prosta droga do ataków lokalnych. Bardziej szczegółowe informacje można znaleźć na blogu /dev/ttyS0. Oto zestawienie podatnych modeli:

F9K1001v4 F9K1103v1 F6D4230-4v3 F5D7234-4v5
F9K1001v5 F9K1112v1 F7D2301v1 F5D8233-4v1
F9K1002v1 F9K1113v1 F7D1301v1 F5D8233-4v3
F9K1002v2 F9K1105v1 F5D7234-4v3 F5D9231-4v1
F9K1002v5 F6D4230-4v2 F5D7234-4v4  

Poprawek łatających błąd jeszcze nie ma i nie wiadomo, kiedy będą. Jedynym wyjściem z problematycznej sytuacji jest wyłączenie usługi WPS w routerze.

Przy okazji sprawdź, czy nie padłeś ofiarą zmiany ustawień routera

O tym, czym grozi przejęcie kontroli nad domowym routerem, pisałam niespełna miesiąc temu. Eksperci zaobserwowali wtedy bowiem nasilenie się ataków polegających na zmianie ustawień serwerów DNS (istnieje kilka scenariuszy, jeden z nich zakłada wykorzystanie niezałatanych podatności w oprogramowaniu urządzenia).

- Ataki na ustawienia routerów są trudne do zauważenia, ponieważ nie wiążą się z nimi wyraźne symptomy - mówi Sean Sullivan z F-Secure. Atakujący przekierowują ruch użytkowników na podstawione przez siebie strony, które w najlepszym wypadku serwują im niechciane reklamy, z reguły jednak próbują wykradać prywatne dane, takie jak loginy i hasła do poczty elektronicznej czy serwisów bankowości online.

W poprzednim artykule podałam linki do dwóch narzędzi pozwalających zdiagnozować, czy nie padliśmy ofiarą zmiany ustawień routera. Od tego czasu F-Secure zdążył ulepszyć swój Router Checker (wcześniej przez długi czas mieliśmy do czynienia z wersją beta). Narzędzie identyfikuje ustawienia internetowe, odpowiedzialne za to, co użytkownicy widzą online. W przypadku nieprawidłowości wyświetla odpowiedni komunikat, który jest sygnałem do tego, że należy zresetować bądź przekonfigurować router.

Czytaj także: Ataki na e-bankowość poprzez przejmowanie kontroli nad domowymi routerami - jak im zapobiegać


Tematy pokrewne:  

tag TP-LINKtag routerytag lukitag F-Securetag DNStag Belkintag ataki
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy