Korzystasz z routera firmy TP-LINK lub Belkin? Ostatnio wykryte luki dobitnie pokazują, że producenci tanich urządzeń nieszczególnie się przejmują ich odpowiednim zabezpieczaniem.

Z informacji podawanych przez Zaufaną Trzecią Stronę wynika, że wykorzystanie nowo odkrytych błędów nie wymaga od atakującego dużych umiejętności.

W przypadku routerów firmy TP-LINK wystarczy połączyć się z portem 80, wydać odpowiednie polecenie i już można odczytać lokalne pliki urządzenia, nawet ten z hasłem administratora. Bardziej szczegółowe informacje są dostępne na liście Full Disclosure w zgłoszeniu od firmy SEC Consult. Oto zestawienie podatnych modeli:

  • TP-LINK Archer C5 (hardware ver. 1.2)
  • TP-LINK TL-WR740N (hardware ver. 5.0)
  • TP-LINK Archer C7 (hardware ver. 2.0)
  • TP-LINK TL-WR741ND (hardware ver. 5.0)
  • TP-LINK Archer C8 (hardware ver. 1.0)
  • TP-LINK TL-WR841N (hardware ver. 9.0)
  • TP-LINK Archer C9 (hardware ver. 1.0)
  • TP-LINK TL-WR841N (hardware ver. 10.0)
  • TP-LINK TL-WDR3500 (hardware ver. 1.0)
  • TP-LINK TL-WR841ND (hardware ver. 10.0)
  • TP-LINK TL-WDR4300 (hardware ver. 1.0)
  • TP-LINK TL-WR841ND (hardware ver. 9.0)
  • TP-LINK TL-WDR3600 (hardware ver. 1.0)

Producent udostępnił już poprawki dla wszystkich wymienionych wyżej urządzeń. Warto pamiętać, że routery nie aktualizują swego oprogramowania automatycznie - posiadacze podatnych modeli muszą zainstalować łatki ręcznie. Dobrym pomysłem jest także zablokowanie możliwości zarządzania routerem spoza sieci lokalnej. Szczegółowy opis tej czynności powinien znajdować się w instrukcji obsługi urządzenia.

W przypadku routerów firmy Belkin wystarczy wysłać jedno zapytanie, by poznać wszystkie dane potrzebne do wygenerowania kodu PIN usługi WPS, a stąd już prosta droga do ataków lokalnych. Bardziej szczegółowe informacje można znaleźć na blogu /dev/ttyS0. Oto zestawienie podatnych modeli:

  • F9K1001v4
  • F9K1103v1
  • F6D4230-4v3
  • F5D7234-4v5
  • F9K1001v5
  • F9K1112v1
  • F7D2301v1
  • F5D8233-4v1
  • F9K1002v1
  • F9K1113v1
  • F7D1301v1
  • F5D8233-4v3
  • F9K1002v2
  • F9K1105v1
  • F5D7234-4v3
  • F5D9231-4v1
  • F9K1002v5
  • F6D4230-4v2
  • F5D7234-4v4

Poprawek łatających błąd jeszcze nie ma i nie wiadomo, kiedy będą. Jedynym wyjściem z problematycznej sytuacji jest wyłączenie usługi WPS w routerze.

Przy okazji sprawdź, czy nie padłeś ofiarą zmiany ustawień routera


O tym, czym grozi przejęcie kontroli nad domowym routerem, Dziennik Internautów pisał niespełna miesiąc temu. Eksperci zaobserwowali wtedy bowiem nasilenie się ataków polegających na zmianie ustawień serwerów DNS (istnieje kilka scenariuszy, jeden z nich zakłada wykorzystanie niezałatanych podatności w oprogramowaniu urządzenia).

- Ataki na ustawienia routerów są trudne do zauważenia, ponieważ nie wiążą się z nimi wyraźne symptomy - mówi Sean Sullivan z F-Secure. Atakujący przekierowują ruch użytkowników na podstawione przez siebie strony, które w najlepszym wypadku serwują im niechciane reklamy, z reguły jednak próbują wykradać prywatne dane, takie jak loginy i hasła do poczty elektronicznej czy serwisów bankowości online.

W poprzednim artykule redaktorzy DI podali linki do dwóch narzędzi pozwalających zdiagnozować, czy nie padliśmy ofiarą zmiany ustawień routera. Od tego czasu F-Secure zdążył ulepszyć swój Router Checker (wcześniej przez długi czas mieliśmy do czynienia z wersją beta). Narzędzie identyfikuje ustawienia internetowe, odpowiedzialne za to, co użytkownicy widzą online. W przypadku nieprawidłowości wyświetla odpowiedni komunikat, który jest sygnałem do tego, że należy zresetować bądź przekonfigurować router.

[Anna Wasilewska-Śpioch]

Z ostatniej chwili:


Otrzymaliśmy maila od przedstawiciela firmy TP-LINK który poprosił nas o dopisanie notki do powyższego newsa. Ze względu na istotność problemu zamieszczamy go w całości. pomijając elementy grzecznościowe:


Poniżej lista linków do nowych oprogramowań.

Problem jest nam znany i w zasadzie rozwiązany, i z tego co wiem dotyczy również innych producentów nie tylko wspomnianych w ww artykule.

Myślę że nikt inny jak do tej pory nie zareagował, poza nami.

Archer C7

2.0

http://www.tp-link.com/en/handlers/download.ashx?resourceid=13008

TL-WDR4300

1.0

http://www.tp-link.com/en/handlers/download.ashx?resourceid=13009

TL-WDR3600

1.0

http://www.tp-link.com/en/handlers/download.ashx?resourceid=13019

TL-WDR3500

1.0

http://www.tp-link.com/en/handlers/download.ashx?resourceid=13018

Archer C9

1.0

http://www.tp-link.com/en/handlers/download.ashx?resourceid=13020

Archer C8

1.0

http://www.tp-link.com/en/handlers/download.ashx?resourceid=13052

Archer C5

1.2

http://www.tp-link.com/en/handlers/download.ashx?resourceid=13048

TL-WR741ND

5.0

http://www.tp-link.com/en/handlers/download.ashx?resourceid=13013

TL-WR740N

5.0

http://www.tp-link.com/en/handlers/download.ashx?resourceid=13012

TL-WR841N

9.0

http://www.tp-link.com/en/handlers/download.ashx?resourceid=13033

TL-WR841ND

9.0

http://www.tp-link.com/en/handlers/download.ashx?resourceid=13035

TL-WR841N

10.0

http://www.tp-link.com/en/handlers/download.ashx?resourceid=13036

TL-WR841ND

10.0

http://www.tp-link.com/en/handlers/download.ashx?resourceid=13037