Napadený router TP-Linku už i v Česku. Přesměrovává provoz na podvodné stránky

12. 5. 2014

Sdílet

 Autor: Redakce

CSIRT.cz informuje o prvním českém útoku pozměňujícím DNS server v nastavení routeru, kvůli čemuž byl uživatel přesměrován na podvodné stránky. Konkrétně jde o ADSL router TP-Link TD-W8901G, u něhož byl jako primární DNS nastaven 192.99.14.108. Při návštěvě google.cz a seznam.cz se uživatel dostal na zavirovanou phishingovou stránku.

Router TP-Link TD-W8901G s nastaveným podvodným DNS resolverem
Router TP-Link TD-W8901G s nastaveným podvodným DNS resolverem  

V zahraničí už tyto útoky proběhly, v Česku jde o první známý. Příčiny napadení routeru zatím CSIRT neobjevil, administrátorské heslo měl uživatel dostatečně složité. Experti podezřívají známou zranitelnost CSRF, ale více budou vědět, až se k napadenému kusu dostanou.

ICTS24

 

Prozatím doporučují, a to nejen majitelům stejného modelu, aby si na routerech zakázali vzdálenou konfiguraci, aktualizovali firmware a ručně nastavili bezpečný DNS server. Buď ten od poskytovatele připojení, nebo přímo od českého správce internetu CZ.NIC (217.31.204.130 a 193.29.206.206). Bezpečné veřejné DNS provozuje i Google (8.8.8.8 a 8.8.4.4).