Tuzemský bezpečnostní tým CSIRT dokončil analýzu domácího routeru TP-LINK TD-W8901GB, který nedávno napadl neznámý útočník, pozměnil na něm nastavení serverů DNS a surfařům se poté zobrazovala podvrhnutá stránka Seznamu a Googlu, která obsahovala další malware.
Podle vývojáře CSIRTu Tomáše Hlaváčka útočník do routeru pronikl kvůli banální chybě v zabezpečení typu „rom-0“ a to konkrétně tak, že router po zadání speciální adresy nabídl ke stažení binární soubor se zálohou konfigurace, ve které bylo i heslo správce. Zařízení přitom po zadání této adresy nevyžadovalo přihlášení a stažení nabízelo i skrze WAN, tedy z internetu.
Každý, kdo zná IP adresu routeru a speciální webovou adresu, si tak může z takto nastaveného zařízení stáhnout vše potřebné. Nedostatečné výchozí zabezpečení se týká celé rodiny starších routerů, které dnes už TP-Link nepodporuje, pro jejich popularitu jich však u nás může být až 5 000. Na blogu CZ.NIC se dočtete, jak tuto chybu na routeru opravit.
Problematice se ve svém blogovém zápisku podrobně věnuje i Jakub Bouček, který děravý router objevil.
