Nejčastější možnosti napadení routeru a návod, jak router zabezpečit

Popis problému, způsob napadení routeru

Možnost získání administrátorského hesla ze souboru rom-0

Díky chybě ve firmware lze získat přístupové údaje pro přihlášení k administraci routeru. Přístupové heslo je uloženo v souboru rom-0 a není hashováno, soubor rom-0 je přístupný z adresy http://"IP adresa routeru"/rom-0 Po stažení souboru není heslo čitelné, protože soubor je komprimován bezstrátovou Lempel–Ziv–Welch LZW kompresí. Soubor lze však snadno dekomprimovat a získat tak přístupové heslo. Útočník pak může manipulovat s nastavením routeru, např. změnit nastavení adres DNS serverů a získat tak snadnou možnost podstrčit klientovi falešnou web stránku, nainstalovat do počítače vir a pod. Nebezpečné to je zejména proto, že uživatel ve vyhledávači zadá správnou adresu důvěryhodného serveru, např. seznam.cz, google.com nebo adresu banky, zadaná adresa je i v prohlížeči správně zobrazena, ve skutečnosti však může útočník zobrazit na uživatelovo počítači, tabletu, mobilním telefonu úplně jinou stránku, nainstalovat výzvědný software, vir a podobně.

Přístup k web správě routeru i přes WAN rozhraní

Routery, které mají defaultně nastavenou možnost přístupu ke správě i přes WAN rozhraní, jsou ohroženy zejména v případě, kdy uživatel nezmění defaultní heslo do administrace routeru, uživatelské jméno bývá standardně: admin a heslo: 1234 nebo admin. I v případě, kdy je v routeru nastaveno silné heslo a útočník zjistí toto heslo snadno kvůli chybě rom-0, může být router snadno napaden. Jednoduché heslo může být zjištěno metodou BFA (brute force attack).

Další možnosti napadení routerů

Existují i méně časté způsoby napadení routerů, protože existuje více bezpečnostních děr v software různých routerů. V novějších routerech s automatickou aktualizací firmware jsou však takové chyby postupně a automaticky opravovány a nedochází tak k jejich zneužívání jako u předchozích variant. Zajímavý způsob napadení byl např. v roce 2011 virus Skynet napadající Ubiquiti UBNT síťová zařízení s firmware na bázi GNU Linux. Nový firmware tyto zařízení zabezpečil proti Skynetu a podobným virům.

Jaké typy routerů lze napadnout diky rom-0 zranitelnosti?

Modely routerů, které mohou být napadeny

Routery, které používají ZyNOS (ZyXEL Network Operating System) s verzí firmware, která umožňuje stáhnout rom-0. Může jít například o tyto modely:

Edimax ADSL AR-7084GB, Edimax AR-7084B

D-Link DSL-2640R

Huawei HG520

TP-Link: TD-8816, TD-W8901G, TD-W8951ND, TD-W8961ND

případně další routery s přístupným http://"IP adresa routeru"/rom-0

Obecně

Všechny routery, u kterých lze stáhnout soubor rom-0 a získat z něj přístupové heslo do správy routeru.

Všechny routery, které mají povolenou administraci přes WAN a nemají nastavené silné heslo.

Jak zabezpečit router

1. Odvirování počítačů

Pokud jsou zavirované nebo jinak napadené počítače díky chybě v routeru (uživatel nainstaloval fake aplikaci, případně se skrytě automaticky nainstalovala), je potřeba počítač (počítače) odvirovat. Následující kroky (nastavení routeru, upgrade firmware) provádějte jen z nenapadeného počítače.

2. Nový firmware

Pokud je k dispozici u výrobce nový zabezpečený firmware, stáhněte ho a aktualizujte firmware routeru. Následně nastavte router podle údajů poskytovatele internetu (ISP), používáte-li například připojení k internetu přes ADSL poskytovatele O2, nastavte router podle údajů získáných od O2. Napadený router měl s největší pravděpodobností změněné některé hodnoty, nejpravděpodobněji adresy DNS serverů, proto není vhodné opisovat všechny hodnoty nastavení z napadeného routeru. Použijte silné přístupové heslo do administrace a hlavně použijte jiné heslo, než které bylo v routeru nastaveno původně.

3. Vypnutí správy nastavení přes WAN rozhraní

Pokud nepotřebujete přistupovat ke správě routeru odkudkoliv z internetu, vypněte přístup k administraci přes WAN, případně omezte přístup jen na určitou IP adresu. Pokud potřebujete přistupovat ke správě routeru odkudkoliv a používáte router s rom-0 chybou, vyměňte router za jiný, který tuto chybu nemá.

Nastavení přístupu ke správě routeru
Datum vytvoření stránky: 09.05.2014, datum poslední změny stránky: 17.06.2014
David Weyda


Komentáře, příspěvky, diskuze:

Nový příspěvek