Mengecek & mencegah router TP-Link kena hijack CSRF.

Apakah anda pengguna router ekonomis merek TP-Link? Belakangan ini, secara “ajaib” router anda bisa merubah-rubah settingan sendiri dan tidak dapat diakses menggunakan password yang anda ketahui? WASPADAlah, jangan-jangan router anda telah terkena hijack!

TP-Link MR3420 v1 yang sudah menggunakan latest firmware milik saya, ternyata masih rentan terhadap serangan ini.

Article asli dalam bahasa Inggris dapat ditemukan disini.

Untuk mengetahui apakah router anda telah terkena infeksi virus, ikuti langkah-langkah berikut ini:
#1. Buka Internet browser (Internet Explorer, Safari, Chrome, Mozila FireFox, dan lain-lain) dan login lah ke router anda. ( Biasanya http://192.168.1.1)

#2. Pergilah ke bagian setting DHCP dan catat informasi DHCP yang terdapat di router anda saat itu. Contoh di TP-Link MR3420 v1 punya saya:

#3. buka tab baru, kemudian copy paste tulisan dibawah ini langsung ke alamat (address bar) di browser. (Catatan: anda mungkin perlu menyesuaikan alamat *192.168.1.1* dengan alamat router anda saat ini, apabila setting router anda tidak standard/default).

http://192.168.1.1/userRpm/LanDhcpServerRpm.htm?dhcpserver=1&ip1=192.168.1.100&ip2=192.168.1.199&Lease=120&gateway=0.0.0.0&domain=&dnsserver=8.8.4.4&dnsserver2=8.8.8.8&Save=%B1%A3+%B4%E6

#4. Kembalilah ke tab pertama (yang membuka web management router).

#5. Apabila router anda rentan terhadap serangan virus tersebut, dengan perintah diatas otomatis merubah setting DNS anda ke (Primary DNS: 8.8.4.4 dan Secondary DNS: 8.8.8.8).

#6. Apabila router anda termasuk yang bisa diserang, silahkan upgrade firmware router anda menggunakan firmware terbaru yang tersedia di website http://www.tp-link.co.id. Atau apabila anda mengerti serta router anda support, bisa menggunakan firmware open source dari OpenWRT/DD-WRT.

#7. Bagi pemilik dana lebih, dapat mengupgrade router ke versi yang lebih baru, dan bagi yang sungkan, bisa dibantu diakali dengan cara demikian…

*a. Masuk ke menu Network kemudian LAN.

*b. Pada bagian IP Address, rubahlah dari 192.168.1.1 menjadi 192.168.1.254 (atau 192.168.1.20); intinya tidak menggunakan 192.168.1.1 (IP address default router), click apply and reboot lah router apabila diminta.

*c. Kemudian masuk ke system tools -> password; rubah lah userID & password dari default admin/admin; menjadi apa saja yang mudah anda ingat. Save dan reboot apabila diminta.

*d. Jangan pernah menyimpan user id & password untuk mengakses router di browser anda. (remember me atau simpan password di browser).

*e. Pastikan pada saat mengakses web management interface ini, tidak membuka website lainnya, dan setelah selesai, tutup browser, baru kemudian buka kembali dan mulai berselancar di Internet.

*f. Selesai

Daftar list router TP-Link yang diketahui terinfeksi dengan CSRF adalah sebagai berikut:

  1. TP-Link MR3420 v1 firmware 3.13.1 Build 121123 Rel.57630n
  2. TP-Link WR1043ND V1 up to firmware version 3.3.12 build 120405 is vulnerable (version 3.3.13 build 130325 and later is not vulnerable)
  3. TP-Link TL-MR3020: firmware version 3.14.2 Build 120817 Rel.55520n and version 3.15.2 Build 130326 Rel.58517n are vulnerable (but not affected by current exploit in default configuration)
  4. TL-WDR3600: firmware version 3.13.26 Build 130129 Rel.59449n and version 3.13.31 Build 130320 Rel.55761n are vulnerable (but not affected by current exploit in default configuration)
  5. WR710N v1: 3.14.9 Build 130419 Rel.58371n is not vulnerable
  • Tinggalkan comment anda pada bagian bawah, agar saya dapat memperbaharui list ini.

Semoga kita semua menjadi lebih aman.

Salam SUKSES LUAR BIASA,

www.BduaB.com

 

Leave a Reply

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: