Velmi závažný způsob útoku se již objevil i v ČR

Velmi závažný způsob útoku se již objevil i v ČR

CSIRT.CZ obdržel informaci o závažném incidentu, při kterém byl v ČR pozměněn primární DNS server na ADSL routeru uživatele. Útok se projevoval mimo jiné tím, že stránky Seznam.cz a Google.cz, které se zobrazovaly klientovi, obsahovaly virus. Na routeru, který byl napaden, byla nastavena jako primární DNS IP adresa 192.99.14.108.

 TP-LINK

Je to poprvé, kdy byl podobný incident v ČR reportován. Od počátku tohoto roku se ale informace o těchto útocích v zahraničí pravidelně objevují. O jednom z těchto útoků, který byl proveden v sousedním Polsku, jsme již také informovali na blogu sdružení CZ.NIC.

Jedná se o velmi nebezpečný útok, neboť postihuje všechna zařízení, která jsou pomocí napadeného routeru připojena. V případě, který byl zaznamenán v ČR, se jednalo konkrétně o zařízení TP-LINK TD-W8901G. Ve světě však byla tímto druhem útoku postižena celá řada routerů různých značek. Případ v ČR je alarmující také proto, že na routeru uživatele bylo nastavené netriviální heslo a není tak zatím zřejmé, jakým způsobem byl útok proveden. CSIRT.CZ má však přislíbeno zapůjčení tohoto konkrétního napadeného kusu routeru k analýze. Pokud se nám tedy podaří zjistit, jakým způsobem byl útok proveden, budeme o tom informovat uživatele a výrobce routeru. Mohlo by se jednat například o již dříve popsanou CSRF zranitelnost TP-LINK routerů; to však ale v tuto chvíli nemůžeme 100% říci. V tuto chvíli bychom chtěli všechny uživatele v ČR důrazně varovat, aby nepodceňovali toto nové nebezpečí. Doporučujeme provést kontrolu nastavení DNS u domácích routerů, především pak u uvedené značky a typu.

Dále doporučujeme jako prevenci dodržovat pravidla, která náš tým publikoval v souvislosti s podobnými útoky v zahraničí již dříve:

  1. Všímejte si adresy URL v prohlížeči a věnujte pozornost indikátoru probíhajícího HTTPS spojení.
  2. Na routeru zakažte vzdálenou konfiguraci a změňte výchozí uživatelské jméno a heslo.
  3. Proveďte update na poslední verzi firmware, která je pro váš router dostupná. Je potřeba mít na paměti, že routery obvykle nemají žádné automatické aktualizace a tak je starost o updaty zcela v režii uživatele.
  4. Případně můžete nastavit DNS servery přímo na koncových zařízeních tak, aby nedocházelo k jejich nastavení ze strany routeru. V tom případě můžete použít DNS servery vašeho poskytovatele připojení, případně můžete využít DNS serverů sdružení CZ.NIC. Jedná se o resolvery s IP adresami 217.31.204.130 a 193.29.206.206. Pokud vaše síťové připojení funguje i přes protokol IPv6 můžete použít i IPv6 adresy 2001:1488:800:400::130 a 2001:678:1::206.
  5. Pokud to je možné, používejte DNSSEC validaci přímo v koncových zařízeních.
Sdílet článek:

Novinky eABM

Novinky nejen ze světa IT
Václav Dobiáš | 21. srpen 2019

Mezi marketéry již dlouhá léta zaznívá jedna mantra - internetové stránky musí mít na začátku vždy www. Dnes si však tento mýtus vyvrátíme.

Pavel Vráblík | 18. srpen 2019

Při dnešních nárocích na funkčnost techniky je dobré mít i dokonalý přehled o stavu záložních zdrojů včetně informací o výpadcích napájení, zejména pokud jsou na záložních zařízeních připojena důležitá zařízení jako vzduchotechnika, kogenerace apod.

Dominik Fenár | 12. srpen 2019

 V dnešní době jsou SSD (Solid State Drive) zcela běžnou částí vybavení počítačů a notebooků. U silnějších sestav a ultrabooků se dokonce jedná o nezbytnou komponentu. SSD lze samozřejmě také dokoupit do stávajícího počítače či notebooku, ale jaký bude jeho přínos a na co se zaměřit při výběru toho správného?