Tisíce Wi-Fi routerů v ČR trpí kritickou chybou

Tisíce Wi-Fi routerů v ČR trpí kritickou chybou

Tuzemský bezpečnostní tým CSIRT dokončil analýzu domácího routeru TP-LINK TD-W8901GB, který nedávno napadl neznámý útočník, pozměnil na něm nastavení serverů DNS a surfařům se poté zobrazovala podvrhnutá stránka Seznamu a Googlu, která obsahovala další malware.

Podle vývojáře CSIRTu Tomáše Hlaváčka útočník do routeru pronikl kvůli banální chybě v zabezpečení typu „rom-0“ a to konkrétně tak, že router po zadání speciální adresy nabídl ke stažení binární soubor se zálohou konfigurace, ve které bylo i heslo správce. Zařízení přitom po zadání této adresy nevyžadovalo přihlášení a stažení nabízelo i skrze WAN, tedy z internetu.

Každý, kdo zná IP adresu routeru a speciální webovou adresu, si tak může z takto nastaveného zařízení stáhnout vše potřebné. Nedostatečné výchozí zabezpečení se týká celé rodiny starších routerů, které dnes už TP-Link nepodporuje, pro jejich popularitu jich však u nás může být až 5 000. Na blogu CZ.NIC se dočtete, jak tuto chybu na routeru opravit.

Problematice se ve svém blogovém zápisku podrobně věnuje i Jakub Bouček, který děravý router objevil.

Témata článku: Internet, Bezpečnost, Wi-Fi, Router, Jakub, Kali

26 komentářů

Nejnovější komentáře

  • BobTheBuilder 23. 5. 2014 14:33:51
    Zcela zavádějící nadpis - problém je to především ADSL modemů a ne WiFi...
  • Mike.M 22. 5. 2014 6:35:19
    Já na každý tplink dávám openwrt, pokud to umožňuje. Mikrotik je sice...
  • Worm 21. 5. 2014 18:20:47
    Řeší tohle vypnutí vzdálené správy?
Určitě si přečtěte

Jak vybrat monitor k počítači: nenechte se zlákat nepodstatnými parametry

Jak vybrat monitor k počítači: nenechte se zlákat nepodstatnými parametry

** Na jaké parametry se zaměřit a kde vás výrobci chtějí nachytat ** Monitory se stále více specifikují pro konkrétní určení ** Náročný hráč nebo profesionální grafik mají různé požadavky

20.  6.  2017 | Tomáš Holčík | 31

Dlouhodobý test HTC Vive: co vám recenze o virtuální realitě neřeknou

Dlouhodobý test HTC Vive: co vám recenze o virtuální realitě neřeknou

** Ani hry se sebelepší grafikou vás nevtáhnou tolik, jako ve virtuální realitě ** Pro sledování filmů není VR ani zdaleka ideální ** I první generace je skvělá, stále však působí jako prototyp

20.  6.  2017 | Stanislav Janů | 22

Pojďme programovat elektroniku: Postavíme si titěrnou Wi-Fi meteostanici s lepším teploměrem než Netatmo

Pojďme programovat elektroniku: Postavíme si titěrnou Wi-Fi meteostanici s lepším teploměrem než Netatmo

** Dnes se podíváme na maličkou Wi-Fi destičku Wemos D1 mini ** A připojíme k ní barometrický a teplotní shield ** Poběží na ní web a nabídne i JSON API

18.  6.  2017 | Jakub Čížek | 28

Jak unikají informace o nových iPhonech? Třeba podprsenkami čínských pracovnic

Jak unikají informace o nových iPhonech? Třeba podprsenkami čínských pracovnic

** Na černém trhu mohou zaměstnanci továren za kradené součástky inkasovat částku ve výši ročního platu ** Velké množství informací je vyneseno i z centrály Applu ** Díly jsou pašovány v botách, podprsenkách i odpadem

21.  6.  2017 | Stanislav Janů | 24


Aktuální číslo časopisu Computer

Bojujeme proti Fake News

Dva velké testy: fotoaparáty a NASy

Co musíte vědět o změně evropského roamingu

Radíme s výběrem základní desky