Używasz routera tej firmy? Eksperci radzą, by go wyłączyć, dopóki producent nie załata tej luki

Robert Kędzierski
Internauci korzystający z niektórych routerów firmy Netgear mogą być narażeni na ataki ze strony cyberprzestępców. Wszystko przez lukę w zabezpieczeniach sprzętu.

Specjaliści z Carnegie Mellon University ujawnili w piątek dwie luki w oprogramowaniu routerów Netgear R7000 i R6400. Pozwalają one na uruchomienie kodu, za pomocą którego hakerzy mogą przejąć kontrolę nad urządzeniem. Bez znajomości hasła. 

Netgear w odpowiedzi na nasze zapytanie uściślił, że oprócz wymienionych powyżej modeli na atak podatny jest również router R8000. Niestety z oświadczenia wynika, że aktualizacja firmware'u nie jest jeszcze gotowa. 

Misją Netgear jest łączenie świata z internetem. By osiągnąć ten cel staramy się zdobyć zaufanie tych, którzy używają sprzętu naszej firmy. Niestety to wszystkie informacje jakie mamy w tej sprawę w chwili obecnej.

Do przeprowadzenia ataku cyberprzestępcy potrzebują tylko jednego: Muszą skłonić ofiarę do odwiedzenia strony zawierającej złośliwy kod - wyjaśnia Zdnet.

Specjaliści z CERT zalecają, by do czasu wypuszczenia łatki przez producenta... nie używać routerów. Czyli odłączyć je od sieci. 

Czytaj też: Wirus podmienił numer konta. Stracił kilkadziesiąt tysięcy złotych.

Co grozi użytkownikom

Skutki ataku mogą być dotkliwe. Przestępcy przejmują kontrolę nad routerem w jednym celu: by podmienić adres DNS na kontrolowany przez siebie. Serwer DNS "tłumaczy" nazwę domeny, którą wpisujemy (np. adres banku), na numer IP (np. 147.121.1.2).

Po wpisaniu w przeglądarkę adresu banku, fałszywy DNS przekieruje użytkownika do spreparowanej witryny będącej wierną kopią oryginału. W momencie logowania, ofiara zostanie poproszona o hasło lub numer karty kredytowej. Przestępcy przejmą w ten sposób dane i wyczyszczą konto bankowe. Tego typu przypadki zdarzały się w Polsce.

15 stycznia z konta mi zniknęło blisko 16 tys. zł. Przelew został wykonany na konto mBanku do realnej osoby (jak potwierdził [mi] bank), ale i jednocześnie natychmiast został przelany na kolejne numery kont (osób, które jak się okazało, też były ofiarami). Cała procedura polegała, co mogę stwierdzić już po fakcie, na zamianie DNS-ów w routerze (podatny na atak AirLive WT-2000ARM). Potwierdziłem to, kiedy drugi raz, dwa dni temu, znów coś niepokojącego pojawiło się na stronie mBanku. Nie mogłem uruchomić nowej wersji strony banku. Cały czas przekierowywało mnie na starą wersję, co wydało mi się dziwne, a dodatkowo nie było już certyfikatu, a adres banku wyglądał tak: ssl-.www.mbank.com.pl

- wyjaśniała jedna z ofiar cytowana we wcześniejszym naszym tekście na ten temat.

Procedurę aktualizacji oprogramowania routera można znaleźć w tym miejscu