Zpět na seznam aktualit     Číst komentáře (3)     Verze pro tisk

Pravděpodobně první výskyt oficiálně zaznamenaného útoku na DNS server routeru u nás se objevil před pár dny

Autor: Batou   
16.5.2014

Zaznamenal ho český CSIRT a na ADSL routeru byly změněny DNS záznamy tak, aby byli všichni klienti, kteří chtějí navštívit Seznam či Google, přesměrovány na jejich podvržené verze.


Jak již bylo řečeno, všechny požadavky na servery seznam.cz a google.cz přesměrovaly uživatele na jinou adresu, konkrétně 192.99.14.108. Tam na všechny klienty, připojené k routeru, čekalo jediné - podvržený web a malware. Toho bylo docíleno změnou primárního DNS serveru na routeru. Zajímavé však je, že na routeru bylo nastaveno poměrně silné heslo.

Zmíněný router byl od společnosti TP-LINK a jednalo se o model TD-W8901G. Jak zaměstnanci CSIRT.CZ na svém blogu uvádí, celosvětově se jedná o běžné typy útoků, v ČR však byl reportován poprvé. V době psaní aktuality mají tamní analytici zařízení již k dispozici a zjišťují, jak byl útok proveden. Je pravděpodobné, že se bude jednat o CSRF zranitelnost, se kterou měl TP-LINK již v minulosti problémy.

Na následujícím obrázku vidíte majitele routeru, jak ho předává zaměstnancům CSIRTu.

CSIRT.CZ vydal následující doporučení:

  • Všímejte si adresy URL v prohlížeči a věnujte pozornost indikátoru probíhajícího HTTPS spojení.
  • Na routeru zakažte vzdálenou konfiguraci a změňte výchozí uživatelské jméno a heslo.
  • Proveďte update na poslední verzi firmware, která je pro váš router dostupná. Je potřeba mít na paměti, že routery obvykle nemají žádné automatické aktualizace a tak je starost o updaty zcela v režii uživatele.
  • Případně můžete nastavit DNS servery přímo na koncových zařízeních tak, aby nedocházelo k jejich nastavení ze strany routeru. V tom případě můžete použít DNS servery vašeho poskytovatele připojení, případně můžete využít DNS serverů sdružení CZ.NIC. Jedná se o resolvery s IP adresami 217.31.204.130 a 193.29.206.206. Pokud vaše síťové připojení funguje i přes protokol IPv6 můžete použít i IPv6 adresy 2001:1488:800:400::130 a 2001:678:1::206.
  • Pokud to je možné, používejte DNSSEC validaci přímo v koncových zařízeních.

Zdroj: http://www.csirt.cz/page/2093/velmi-zavazny-zpusob-utoku-se-…


Social Bookmarking

     





Hodnocení/Hlasovalo: 0/0

1  2  3  4  5    
(známkování jako ve škole)