Podle prvních ohlasů to vypadalo, že router může být napaden, pokud nemá uživatel nastaveno silné přístupové heslo k jeho konfiguraci. Tedy zpravidla pokud lidé nechají tovární nastavení. První zaznamenaný případ v České republice však ukázal, že to není tak docela pravda.

Napadeny mohou být i síťové prvky, které obsahují chyby ve firmwaru. To jsou výsledky analýzy týmu CSIRT, který měl k dispozici infikované zařízení – TP-LINK TD-W8901GB.

„Router TP-LINK TD-W8901GB obsahuje, mimo jiné, zranitelnost 'rom-0'. Ve zkratce jde o to, že router umožňuje vyexportovat a stáhnout svojí konfiguraci v podobě binárního souboru. Součástí konfigurace jsou mimo jiné i přístupová hesla k webovému administračnímu rozhraní. Chyba pak spočívá v tom, že tento soubor lze stáhnout, aniž je před tím vyžadováno heslo – stačí pouze znát URL tohoto souboru,“ uvedl Tomáš Hlaváček, programátor a výzkumník sdružení CZ.NIC, které provozuje národní bezpečnostní tým CSIRT.

Při výchozím nastavení routeru je možné konfiguraci stáhnout z celého internetu.Tomáš Hlaváček, programátor a výzkumník sdružení CZ.NIC

Podle něj je tato chyba kritická mimo jiné i proto, že výrobce už nevydává žádné bezpečnostní aktualizace. „Při výchozím nastavení routeru je možné konfiguraci stáhnout i přes WAN rozhraní, tedy z celého internetu. Router TP-LINK TD-W8901GB se prodával mezi lety 2008 a 2011 a v současné době již není výrobcem podporovaný a tím pádem pro něj ani nejsou vydávány bezpečnostní updaty,“ konstatoval Hlaváček.

Podle analýzy sdružení CZ.NIC byl nejnovější firmware pro toto zařízení vydán 20. srpna 2010 (build 100820) a chybu stále obsahuje. „V ČR byly tyto routery ve své době oblíbené a v současnosti je, podle našich měření, v provozu jen v ČR na 5000 těchto zařízení, která trpí zmíněnou zranitelností,“ podotkl výzkumník sdružení CZ.NIC.

Útočník přesměruje internetové adresy

Všichni tito lidé jsou tedy v ohrožení. Pokud se útočník dostane k administračnímu rozhraní jejich routeru, může snadno přesměrovat adresy. A přesně to v posledních týdnech kyberzločinci dělají. Místo serverů Seznam.cz nebo Google.com se jim pak zobrazí hláška o nutnosti instalace flash playeru. Místo té se ale do PC stáhne virus.

„Proto CSIRT.CZ navrhuje, jako bezpečnostní opatření, úplně zakázat přístup na webovou administraci z WAN rozhraní a v ideálním případě povolit administraci jen z jedné konkrétní vnitřní IP adresy,“ poradil Hlaváček.

Podrobný návod, jak správně nastavit router TP-LINK TD-W8901GB, naleznete v tabulce níže. Pokud si nejste jisti, jak správně router nastavit, je vhodné tuto činnost přenechat odborníkovi.

Návod na správné nastavení routeru
1. V první řadě se přihlaste do webového rozhraní routeru. Pokud neznáte heslo nebo vám heslo změnil útočník, který vás už stihl navštívit, proveďte factory reset podržením reset tlačítka na zadní straně routeru po dobu pěti sekund. Po factory resetu bude uživatelské jméno „admin“ a heslo „admin“.
2. Přejděte do nastavení Access Management a do záložky ACL.
3. Aktivujte ACL (nastavte „ACL“ na „Activated“). Vytvořte ACL záznam s indexem 1, nastavte „Active“ na „Yes“, nastavte adresy své vnitřní sítě, případně vyberte adresu konkrétního počítače či počítačů, které mají mít přístup na administraci. (V příkladu volíme výchozí adresy 192.168.1.2 – 192.168.1.254.) Nastavte „Application“ na „ALL“ a „Interfaces“ na „Both“.
4. Nastavení uložte tlačítkem Save.