Célszerű ellenőrizni az otthonokban, illetve a vállalkozásoknál használatban levő néhány éves, Európában értékesített TP-Link routereket – figyelmeztetett pár napja a világ egyik legnagyobb kiberbiztonsági cége, a Fortinet. Kiderült ugyanis, hogy egy egyszerű módszer segítségével akár a routeren átfolyó teljes adatforgalmat is rögzíteni lehet, beleértve a videohívásokat és más érzékeny adatokat.

A routereket támadó kampányt alig 10 nappal azután fedezték fel, hogy a TP-Link a magyarországi KPMG etikus hekkerének bejelentése alapján frissítést adott ki a hálózati elosztóra. A Fortinet szerint a vírus azért különösen veszélyes, mert a sérülékenység nem kap elég figyelmet, a hekkerek viszont máris visszaélnek vele.

A KPMG etikus hekkere, Matek Kamilló a router Ping néven ismert funkcióját használta ki ahhoz, hogy átvegye az irányítást az eszköz felett. A Ping a hálózati hiba ellenőrzésére használható funkció, aminek egyik mozzanataként a felhasználó egy webes felületen megad egy IP-címet, hogy ellenőrizni tudja az eszközök közötti kapcsolatot. Csakhogy a védelmet megkerülve az IP cím rublikába nemcsak IP-címet, hanem kártékony kódot is be lehetett írni.

KPMG

Matek szerint a most letölthető frissítés nélkül az eszköz hagyja, hogy lefusson a kártékony kód. Emiatt viszont észrevétlenül hozzáférést lehet szerezni az eszköz operációs rendszeréhez és az összes, kizárólag a gyártónak elérhető funkcióhoz is. Ez azt jelenti, hogy illetéktelenek akár a teljes hálózati forgalmat is rögzíthetik, ideértve a routeren keresztül folytatott video chateket, vagy akár a bankszámla forgalom adatait is.

A Fortinet jelentése szerint a hekkerek erre a sérülékenységre építő kampánya a Manga, avagy Dark néven futó malware-t terjeszti, ami a híres Mirai malware egyik változata. A Mirai volt az, amely 2016-ban 250 ezer eszközt a szolgálatába állítva megbénította egyebek mellett a Twitter és az Amazon szervereit is. Az ilyen támadások lényege, hogy a hekkercsoport a hatalmába kerített gépekről üzenetekkel kezdi bombázni a megcélzott szervereket, amelyek a túlterhelés alatt feladják a küzdelmet.

A gyártó által közzétett frissítés ide kattintva érhető el. Ezt azoknak kell telepíteniük, akik egy 2017-2019 között vásárolt TP-Link TL-WR840N-es típusjelű routert használnak. A router típusa az eszköz hátoldalán ellenőrizhető.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.