Vissa trådlösa TP-Link-routrar har en sårbarhet som gör dem öppna för DNS-kapningsattacker, har en forskare funnit.
Forskaren Jakob Lell avslöjade bristen på förfalskning av begäranden över flera webbplatser, som kan göra det möjligt för angripare att manipulera en sårbar routers uppströms DNS-server när en användare surfar till en skadlig webbplats.
Lell sa att han hade hittat fem olika webbplatser som var värd för exploateringen och sa att det sannolikt skulle finnas fler. Han avslöjade inte vilka webbplatser som hade påverkats och sa att det inte var klart vad angriparna planerade att göra med de skadliga servrarna.
Lells avslöjande kommer efter att en annan forskare varnat för att många inhemska trådlösa routrar innehåller oparpade säkerhetshål.
D-Link, Tenda och Netgear tvingades alla utfärda patchar som svar på brister som kunde tillåta hackare att kringgå sina routrars autentiseringsförbikopplingsprocesser. Men ingen av forskarna som avslöjade bristerna sa att de hade hittat verkliga exempel på bedrifterna.
Hur det fungerar
De berörda TP-Link-routrarna tillåter åtkomst till de webbaserade administratörsinställningarna med hjälp av HTTP-autentisering – vilket innebär att webbläsare ofta lagrar lösenordet, även om det har ändrats. ”Även om användaren inte vill lagra lösenordet permanent i webbläsaren, kommer den fortfarande tillfälligt att komma ihåg lösenordet och använda det för den aktuella sessionen”, förklarade Lell.
En användare som surfar till en utsatt webbplats medan den fortfarande är inloggad på sin router lämnar sedan sin router öppen för attack. ”När en användare besöker en komprometterad webbplats försöker utnyttjandet att ändra routerns uppströms DNS-server till en angriparkontrollerad IP-adress, som sedan kan användas för att utföra man-in-the-middle-attacker,” sa Lell.
I teorin kan en komprometterad DNS-server tillåta en angripare att omdirigera användare till nätfiskewebbplatser, blockera programvaruuppgraderingar eller till och med kapa e-postkonton, sa Lell.
Pratar med PC Pro, sa Lell att han hade avslöjat problemet för TP-Link. Företaget har utfärdat patchar för vissa drabbade modeller, men Lell har listat flera enheter som förblir sårbara. ”Många leverantörer bryr sig inte så mycket om säkerhet,” tillade han.
TP-Link har inte svarat på en begäran om kommentar.
Lell tillade att användare bör ändra från standardlösenordet och se till att de loggar ut från de administrativa inställningarna när de surfar till andra webbplatser.
Uppdatering: TP-Link har tagit kontakt med PC Pro och sa att det har åtgärdat problemet.
”Vi har identifierat och uppdaterat sårbara enheter med ny firmware som minskar möjligheten för en angripare att påverka våra enheter på detta sätt”, sa en talesperson.
Företaget rådde också användare med följande routermodeller att uppdatera till den senaste firmware: TL-WDR3600, TL-MR3020 och TL-WR1043ND V1.
