Velmi závažný způsob útoku se již objevil i v ČR

Velmi závažný způsob útoku se již objevil i v ČR

CSIRT.CZ obdržel informaci o závažném incidentu, při kterém byl v ČR pozměněn primární DNS server na ADSL routeru uživatele. Útok se projevoval mimo jiné tím, že stránky Seznam.cz a Google.cz, které se zobrazovaly klientovi, obsahovaly virus. Na routeru, který byl napaden, byla nastavena jako primární DNS IP adresa 192.99.14.108.

bezpečnost

 TP-LINK

Je to poprvé, kdy byl podobný incident v ČR reportován. Od počátku tohoto roku se ale informace o těchto útocích v zahraničí pravidelně objevují. O jednom z těchto útoků, který byl proveden v sousedním Polsku, jsme již také informovali na blogu sdružení CZ.NIC.

Jedná se o velmi nebezpečný útok, neboť postihuje všechna zařízení, která jsou pomocí napadeného routeru připojena. V případě, který byl zaznamenán v ČR, se jednalo konkrétně o zařízení TP-LINK TD-W8901G. Ve světě však byla tímto druhem útoku postižena celá řada routerů různých značek. Případ v ČR je alarmující také proto, že na routeru uživatele bylo nastavené netriviální heslo a není tak zatím zřejmé, jakým způsobem byl útok proveden. CSIRT.CZ má však přislíbeno zapůjčení tohoto konkrétního napadeného kusu routeru k analýze. Pokud se nám tedy podaří zjistit, jakým způsobem byl útok proveden, budeme o tom informovat uživatele a výrobce routeru. Mohlo by se jednat například o již dříve popsanou CSRF zranitelnost TP-LINK routerů; to však ale v tuto chvíli nemůžeme 100% říci. V tuto chvíli bychom chtěli všechny uživatele v ČR důrazně varovat, aby nepodceňovali toto nové nebezpečí. Doporučujeme provést kontrolu nastavení DNS u domácích routerů, především pak u uvedené značky a typu.

Dále doporučujeme jako prevenci dodržovat pravidla, která náš tým publikoval v souvislosti s podobnými útoky v zahraničí již dříve:

  1. Všímejte si adresy URL v prohlížeči a věnujte pozornost indikátoru probíhajícího HTTPS spojení.
  2. Na routeru zakažte vzdálenou konfiguraci a změňte výchozí uživatelské jméno a heslo.
  3. Proveďte update na poslední verzi firmware, která je pro váš router dostupná. Je potřeba mít na paměti, že routery obvykle nemají žádné automatické aktualizace a tak je starost o updaty zcela v režii uživatele.
  4. Případně můžete nastavit DNS servery přímo na koncových zařízeních tak, aby nedocházelo k jejich nastavení ze strany routeru. V tom případě můžete použít DNS servery vašeho poskytovatele připojení, případně můžete využít DNS serverů sdružení CZ.NIC. Jedná se o resolvery s IP adresami 217.31.204.130 a 193.29.206.206. Pokud vaše síťové připojení funguje i přes protokol IPv6 můžete použít i IPv6 adresy 2001:1488:800:400::130 a 2001:678:1::206.
  5. Pokud to je možné, používejte DNSSEC validaci přímo v koncových zařízeních.
Sdílet článek:
Autor:
Václav Dobiáš

Vedoucí internetového oddělení

 dobias.vaclav@eabm.cz
 +420 777 027 504

Novinky eABM

Novinky nejen ze světa IT
Václav Dobiáš | 16. květen 2024

Mnoho organizací se ptá, jak co nejlépe využít umělou inteligenci (AI) ke zvýšení produktivity aplikaci Teams. Microsoft Copilot byl přijat prvními uživateli pro svou schopnost získat přehled, rychleji aktualizovat týmy a generovat nové nápady v týmové komunikaci.

Václav Dobiáš | 7. květen 2024

Pokud hledáte způsoby, jak zvýšit svou produktivitu pomocí Microsoft Teams, jste na správném místě. V tomto příspěvku se s vámi podělíme o nejnovější dubnové funkce a vylepšení.

Václav Dobiáš | 30. duben 2024

Zálohování dat a serverů je nezbytnou činností všech firem. Při větším množství serverů ale roste i požadovaná kapacita na zálohovacích (backup) jednotkách. Dnes si ale představíme řešení, ve kterém Vám stačí 16 TB na zálohu o velikosti větší než 1 PB (1024 TB).

Zobrazit další aktuality