Hlavní navigace

Nový útok už i v ČR: router přesměruje na nakažený Google či Seznam

 Autor: Isifa
David Slížek 12. 5. 2014

Český bezpečnostní tým CSIRT.CZ varuje před útokem, který využívá zranitelnost některých domácích routerů. První případ se objevil už i u jednoho českého uživatele.

Podstata útoku je vlastně velmi jednoduchá a není vůbec nová, jde o tzv. DNS hijacking: útočníci prostě přenastaví adresu primárního DNS serveru v routeru na jinou. To jim umožňuje přesměrovávat uživatele na předem připravené webové stránky, které mohou obsahovat viry a další nebezpečí.

O podobných útocích v sousedním Polsku psal CSIRT.CZ už v únoru a teď zaznamenal první hlášení o podobném útoku i v České republice. Jde zatím sice o jediný nahlášený případ, ale je otázkou, kolik domácích uživatelů si přenastaveného DNS nemusí vůbec všimnout.

Na napadeném routeru byla nastavena jako primární DNS IP adresa 192.99.14.108. Postižený uživatel byl pak přesměrován například na upravené stránky Seznam.cz a Google.cz, které obsahovaly virus.

Ojedinělý incident?

Napadeným routerem je podle CSIRT.CZ model TP-LINK TD-W8901G, ve světě ale byly postiženy i jiné značky – v březnu například server Ars Technica psal o podobných případech u routerů D-Link, Micronet, Tenda a dalších.

Případ v ČR je alarmující také proto, že na routeru uživatele bylo nastavené netriviální heslo a není tak zatím zřejmé, jakým způsobem byl útok proveden, informuje bezpečnostní tým s tím, že má dotyčný router přislíben k bližšímu prozkoumání.

Není tak zatím jasné, jestli se skutečně jedná o nějaký masivnější a sofistikovaný útok, nebo zda jde o ojedinělý incident.

Nejlepší prevence

Jako prevenci před podobnými útoky doporučuje CSIRT.CZ věnovat pozornost URL v prohlížeči, zejména indikátoru probíhajícího HTTPS spojení, zakázat na routeru možnost vzdálené konfigurace a změnit si výchozí login a heslo, pravidelně updatovat firmware routeru, případně nastavit DNS přímo na koncových zařízeních.

Útok prostřednictvím routeru je totiž nebezpečný zejména v tom, že postihuje všechna zařízení, která jsou přes napadené zařízení připojena k Internetu – bez ohledu na platformu, kterou využívají.

Útočníci mohou po nastavení svého DNS v routeru imitovat například přihlášení k internetovému bankovnictví a získat uživatelovy přihlašovací údaje, popsal CSIRT.CZ možné dopady útoku už při únorovém varování před podobnými útoky v Polsku:

Bohužel ani SSL uživatele v tomto případě zcela neochrání. Mnoho uživatelů má ve zvyku přistupovat ke stránkám bankovnictví pomocí odkazu na hlavní stránce jejich banky. Odkaz na přístup do samotného on-line bankovnictví sice bývá přes https, nicméně útočníci jej v přenášené hlavní stránce detekují, odstraní SSL a změní doménu tak, že začíná „ssl-.“, to kvůli většímu zmatení uživatelů. Samotné SSL mezi bankou a obětí je pak zakončeno na serveru útočníků a dále již komunikace probíhá nešifrovaně. Uživatelé, kteří mají uložený v oblíbených položkách přímý odkaz na https verzi on-line bankovnictví, mají větší šanci, že podvod odhalí, neboť jsou jim útočníky podsunuty falešné certifikáty.

Zdroj: Blog CSIRT.CZ

Našli jste v článku chybu?

21. 5. 2014 10:12

Vladimír (neregistrovaný)

Zpráva vyšla: http://blog.nic.cz/2014/05/21/kriticka-zranitelnost-mnoha-domacich-routeru/

V podstatě doporučují to, co já o příspěvek výše, tedy zapnout ACL.

20. 5. 2014 13:35

Vladimir (neregistrovaný)

Zresetuj do výrobních nastavení, zkontroluj, zda je zapnutý ACL (zapnutý ACL blokuje webovou administraci, nezapomeň povolit si v ACL přístup z lokální sítě) a vyčkej den-dva, co zjistí v CSIRT.cz a podle toho se pak zařiď.

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Vitalia.cz: Vláknina: Rozpustná, nebo nerozpustná?

Vláknina: Rozpustná, nebo nerozpustná?

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?