Z informacji podawanych przez Zaufaną Trzecią Stronę wynika, że wykorzystanie nowo odkrytych błędów nie wymaga od atakującego dużych umiejętności.
W przypadku routerów firmy TP-LINK wystarczy połączyć się z portem 80, wydać odpowiednie polecenie i już można odczytać lokalne pliki urządzenia, nawet ten z hasłem administratora. Bardziej szczegółowe informacje są dostępne na liście Full Disclosure w zgłoszeniu od firmy SEC Consult. Oto zestawienie podatnych modeli:
- TP-LINK Archer C5 (hardware ver. 1.2)
- TP-LINK TL-WR740N (hardware ver. 5.0)
- TP-LINK Archer C7 (hardware ver. 2.0)
- TP-LINK TL-WR741ND (hardware ver. 5.0)
- TP-LINK Archer C8 (hardware ver. 1.0)
- TP-LINK TL-WR841N (hardware ver. 9.0)
- TP-LINK Archer C9 (hardware ver. 1.0)
- TP-LINK TL-WR841N (hardware ver. 10.0)
- TP-LINK TL-WDR3500 (hardware ver. 1.0)
- TP-LINK TL-WR841ND (hardware ver. 10.0)
- TP-LINK TL-WDR4300 (hardware ver. 1.0)
- TP-LINK TL-WR841ND (hardware ver. 9.0)
- TP-LINK TL-WDR3600 (hardware ver. 1.0)
Producent udostępnił już poprawki dla wszystkich wymienionych wyżej urządzeń. Warto pamiętać, że routery nie aktualizują swego oprogramowania automatycznie - posiadacze podatnych modeli muszą zainstalować łatki ręcznie. Dobrym pomysłem jest także zablokowanie możliwości zarządzania routerem spoza sieci lokalnej. Szczegółowy opis tej czynności powinien znajdować się w instrukcji obsługi urządzenia.
W przypadku routerów firmy Belkin wystarczy wysłać jedno zapytanie, by poznać wszystkie dane potrzebne do wygenerowania kodu PIN usługi WPS, a stąd już prosta droga do ataków lokalnych. Bardziej szczegółowe informacje można znaleźć na blogu /dev/ttyS0. Oto zestawienie podatnych modeli:
- F9K1001v4
- F9K1103v1
- F6D4230-4v3
- F5D7234-4v5
- F9K1001v5
- F9K1112v1
- F7D2301v1
- F5D8233-4v1
- F9K1002v1
- F9K1113v1
- F7D1301v1
- F5D8233-4v3
- F9K1002v2
- F9K1105v1
- F5D7234-4v3
- F5D9231-4v1
- F9K1002v5
- F6D4230-4v2
- F5D7234-4v4
Poprawek łatających błąd jeszcze nie ma i nie wiadomo, kiedy będą. Jedynym wyjściem z problematycznej sytuacji jest wyłączenie usługi WPS w routerze.
Przy okazji sprawdź, czy nie padłeś ofiarą zmiany ustawień routera
O tym, czym grozi przejęcie kontroli nad domowym routerem, Dziennik Internautów pisał niespełna miesiąc temu. Eksperci zaobserwowali wtedy bowiem nasilenie się ataków polegających na zmianie ustawień serwerów DNS (istnieje kilka scenariuszy, jeden z nich zakłada wykorzystanie niezałatanych podatności w oprogramowaniu urządzenia).
- Ataki na ustawienia routerów są trudne do zauważenia, ponieważ nie wiążą się z nimi wyraźne symptomy - mówi Sean Sullivan z F-Secure. Atakujący przekierowują ruch użytkowników na podstawione przez siebie strony, które w najlepszym wypadku serwują im niechciane reklamy, z reguły jednak próbują wykradać prywatne dane, takie jak loginy i hasła do poczty elektronicznej czy serwisów bankowości online.
W poprzednim artykule redaktorzy DI podali linki do dwóch narzędzi pozwalających zdiagnozować, czy nie padliśmy ofiarą zmiany ustawień routera. Od tego czasu F-Secure zdążył ulepszyć swój Router Checker (wcześniej przez długi czas mieliśmy do czynienia z wersją beta). Narzędzie identyfikuje ustawienia internetowe, odpowiedzialne za to, co użytkownicy widzą online. W przypadku nieprawidłowości wyświetla odpowiedni komunikat, który jest sygnałem do tego, że należy zresetować bądź przekonfigurować router.
[Anna Wasilewska-Śpioch]
Z ostatniej chwili:
Otrzymaliśmy maila od przedstawiciela firmy TP-LINK który poprosił nas o dopisanie notki do powyższego newsa. Ze względu na istotność problemu zamieszczamy go w całości. pomijając elementy grzecznościowe:
Poniżej lista linków do nowych oprogramowań.
Problem jest nam znany i w zasadzie rozwiązany, i z tego co wiem dotyczy również innych producentów nie tylko wspomnianych w ww artykule.
Myślę że nikt inny jak do tej pory nie zareagował, poza nami.