Zespół dbający o bezpieczeństwo w sieci, czyli CERT Orange Polska, wykrył atak hakerski na modemy ADSL na ogólnopolską skalę, również te działające w naszej sieci. Atak polega na możliwym przejęciu kontroli nad modemem i zamianie jego domyślnych serwerów DNS na serwery złośliwe.
Z analiz Orange Polska CERT wynika, że podatność może dotyczyć śladowej ilości modemów szerokopasmowych, używanych w sieci Orange, których konfiguracja umożliwia zdalny dostęp do zaawansowanych ustawień z sieci internet lub ich użytkownicy korzystają ze standardowych parametrów logowania (admin/admin). Z uwagi na to, iż domyślne ustawienia oferowanych naszym Klientom modemów posiadają zablokowaną funkcję zdalnego dostępu do ustawień, zagrożenie dotyczy w znacznej większości urządzeń zakupionych poza siecią sprzedaży Orange Polska.
Efekt ataku może być taki, że po wpisaniu np. adresu banku użytkownik może zostać przekierowany na wyglądającą tak samo, ale jednak fałszywą stronę kontrolowaną przez cyber-przestępców.
– Dlatego by natychmiast ograniczyć ryzyko dla naszych klientów podjęliśmy decyzję o zablokowaniu złośliwych adresów DNS w zagrożonych modemach dodaje Wojtek Jabczyński, rzecznik Orange Polska.
Dodatkowo CERT Orange Polska uruchomił narzędzie, które wykrywa każdy nowy złośliwy adres DNS i natychmiast go blokuje. Jeśli Wasz modem nagle stracił dostęp do Internetu to znaczy, że został zaatakowany i profilaktycznie odcięliśmy go od netu.
– Niestety nie możemy go zdalnie naprawić. Aby to zrobić samemu powinniście zalogować się do panelu administracyjnego (jak to zrobić znajdziecie m.in. w instrukcji urządzenia), zazwyczaj należy wpisać w pasku przeglądarki adres 192.168.1.1 lub 192.168.1.100, a następnie login i hasło. Potem znajdźcie zakładkę z serwerami DNS i wpiszcie adresy: 194.204.159.1 (główny DNS/primary DNS) oraz 194.204.152.34 (dodatkowy DNS/secondary DNS). Jeśli nie możecie się zalogować do panelu administracyjnego oznacza to, że cyber-przestępcy zmienili login i hasło. W takiej sytuacji trzeba wykonać reset fabryczny modemu i od nowa skonfigurować na nim Neostradę. Proszę nie bagatelizujcie tego zagrożenia – dodaje Wojciech Jabczyński.
Jeśli chcesz sprawdzić, czy Wasz modem jest podatny, możecie skorzystać z narzędzia przygotowanego przez Orange Polska CERT, dostępnego pod adresem www.cert.orange.pl/modemscan. Narzędzie weryfikuje, czy panel zarządzania jest dostępny z sieci WAN, czy na urządzeniu istnieją pliki „/rom-0” lub „/rpFWUpload.html”, dostępne bez uwierzytelnienia przez wpisanie adresu URL (http://IP_ROUTERA/rpFWUpload.html oraz http://IP_ROUTERA/rom-0). Dodatkowo, sprawdzane jest również, czy w urządzeniu zostały zmienione domyślne parametry logowania do panelu administracyjnego.
Co zrobić, jeśli narzędzie wykaże, że modem nie jest bezpieczny, dowiecie się: Tutaj
źródło: Orange
Kan
tutaj! Czyli Gdzie?
http://niebezpiecznik.pl/post/stracil-16-000-pln-bo-mial-dziurawy-router-prawie-12-miliona-polakow-moze-byc-podatnych-na-ten-atak/
Z kolei Netia też odczuła atak hakerski, co przejawiało się skanowaniem adresów i próbą przejęcia połączenia, co najczęściej kończyło się ponownym uruchomieniem urządzenia kilka razy pod rząd. Problem występował niemal przez cały styczeń i na początku lutego. Różnica jest taka, że Netia ma domyślnie włączone zdalne połączenie, oraz w przeciwieństwie do Orange nie ma jaj, by mówić o tym na głos.
Chytry dwa razy traci, odczuwają to klienci, odczuje też Netia.
Fajnie by było jakby można było u operatora wykupić pakiet bezpieczeństwa i jakby był jakiś podejrzany ruch przez botnet, trojan itp. to był by blokowany internet i monit po otwarciu dowolnej strony z nr. kontaktowym do BOK. PS. Dobra i szybka decyzja Orange o blokadzie ruchu.
so sad.. how these hacker can track the password.. i am really much worried. http://proxyrental.net/