Manga, avagy Dark néven új botnet kampány fenyeget – figyelmeztet a Fortinet. A routereket támadó kampányt alig 10 nappal azután fedezték fel, hogy a TP-Link a magyarországi KPMG etikus hekkerének bejelentése alapján frissítést adott ki slágerterméknek számító hálózati elosztóira. A Fortinet szerint a vírus azért különösen veszélyes, mert a sérülékenység nem kap elég figyelmet, a hekkerek viszont máris visszaélnek vele.
Célszerű ellenőrizni az otthonokban, illetve a vállalkozásoknál használatban levő néhány éves, Európában értékesített TP-Link routereket – figyelmeztetett pár napja a Fortinet, a világ egyik legnagyobb IT biztonsági cége. A társaság az ismertté vált sérülékenységek frissítésekor figyelt fel a KPMG magyar etikus hekkerének jelentése nyomán kiadott frissítésre. A vizsgálat során azt találták, hogy alig 10 nappal a sérülékenység javításának publikálása után a sötét oldal máris használatba vette a biztonsági rést, azt kihasználva, hogy az érintett routereket nem, vagy csak nagy késéssel frissítik a felhasználók. A Fortinet éppen ezért a szokásosnál veszélyesebbnek ítéli meg a sérülékenységet.
A TP-Link Európában árult routereinek előző generációját érintő problémára Matek Kamilló, a KPMG Tanácsadó Kft. etikus hekkere hívta fel a gyártó figyelmét, aminek nyomán a cég javítást adott ki ezekhez az eszközeihez. Ilyen eszközökből sok 100 ezret adtak el Európa szerte, Magyarországon is vélhetően több 10 ezer üzemel még belőle háztartásokban, kis- és középvállalkozásoknál, önkormányzatoknál, mert a TP-Link Magyarországon is az egyik legnagyobb szállító az olcsó routerek piacán.
Az említett router típus 5-ös szériája – a most futó 6.20-as előtt – igazi tömegtermék volt, 7-10 ezer forintért lehetett hozzájutni a nagy kereskedelmi láncoknál. A vevők – főleg egyszerű telepítése miatt – elégedettek voltak az eszközzel. A mai napig fellelhető értékelések 4,5 pont felettiek, és a hozzászólások is zömmel pozitívak. „Nálunk max 50 Mbit a sávszélesség... De elmegy róla a 3-4 mobilteló, 1 tablet és 2 laptop.” A termék hivatalos forgalmazóknál ma már nem kapható, de sok ezer futhat még belőle, elvégre routert nem minden nap cserélünk, pláne akkor, ha az megfelelően működik – legalábbis a felszínen.
A KPMG etikus hekkere a router Ping néven ismert funkcióját használta ki ahhoz, hogy átvegye az irányítást az eszköz felett. A Ping a hálózati hiba ellenőrzésére használható funkció, aminek egyik mozzanataként a felhasználó egy webes felületen megad egy IP-címet, hogy ellenőrizni tudja az eszközök közötti kapcsolatot. Csakhogy a védelmet megkerülve az IP cím rublikába nemcsak IP-címet, hanem kártékony kódot is be lehetett írni.
„A most letölthető frissítés nélkül az eszköz firmware-e nem validálja az így beérkező adatot, ezért a kártékony kód lefut – magyarázza a támadást Matek Kamilló. „Ezáltal észrevétlenül hozzáférést lehet szerezni az eszköz operációs rendszeréhez és az összes, kizárólag a gyártónak elérhető funkcióhoz is. Ez azt jelenti, hogy illetéktelenek akár a teljes hálózati forgalmat is rögzíthetik, ideértve a routeren keresztül folytatott video chateket, vagy akár a bankszámla forgalom adatait is”.
A Fortinet jelentése szerint a hekkerek erre a sérülékenységre építő kampánya a Manga, avagy Dark néven futó malware-t terjeszti, ami a híres Mirai malware egyik változata. A Mirai volt az, amely 2016-ban 250 ezer eszközt a szolgálatába állítva megbénította egyebek mellett a Twitter és az Amazon szervereit is. Az ilyen támadások lényege, hogy a hekkercsoport a hatalmába kerített gépekről üzenetekkel kezdi bombázni a megcélzott szervereket, amelyek a túlterhelés alatt feladják a küzdelmet.
A gyártó által közzétett frissítés elérhető TP-Link oldalán, ha tehát 2017-2019 között vásárolt TP-Link TL-WR840N-es típusjelű routert használ ma is, érdemes frissíteni a router firmware-ét. A router típusa az eszköz hátoldalán ellenőrizhető.
https://www.tp-link.com/hu/support/download/tl-wr840n/v5/#Firmware
