Stary router w firmie — cicha furtka dla hakerów, o której nie wiesz

Stary router w firmie — cicha furtka dla hakerów, o której nie wiesz

W szafce pod biurkiem albo na górnej półce regału miga czerwona lub zielona lampka. Internet działa, więc nikt o nim nie myśli. Tymczasem ten niepozorny router — stojący tam od 4, 5, może 7 lat — może być jedyną przeszkodą między Twoją firmą a grupą przestępczą, która szyfruje dane i żąda okupu.
Według danych CISA (amerykańska agencja ds. cyberbezpieczeństwa), routery klasy SOHO i małe urządzenia sieciowe to numer jeden na liście najczęściej atakowanych urządzeń w sieciach małych firm (CISA, 2024). Nie serwery. Nie komputery. Router — który kupiłeś kiedyś w sklepie elektronicznym i od tamtej pory o nim zapomniałeś.

Kluczowe informacje:

• 83% routerów SMB ma co najmniej jedną krytyczną
  niezałataną podatność (CSIRO / ANU, 2019 — potwierdzono w kolejnych latach)
• W 2024 roku FBI rozbiło botnet złożony z setek przejętych routerów SOHO należących do firm i domów
• Czas między opublikowaniem podatności a jej aktywnym wykorzystaniem: często mniej niż 7 dni
• Większość tanich routerów traci wsparcie producenta po 2–3 latach — bez żadnych dalszych aktualizacji

Ile routerów w firmach ma dziury? Liczby, które dają do myślenia

83% — tyle routerów konsumenckich i klasy SMB ma co najmniej jedną krytyczną niezałataną podatność bezpieczeństwa. To wynik badania przeprowadzonego przez naukowców z Australian National University i CSIRO, którzy przeanalizowali firmware ponad 80 popularnych modeli. Co czwarty z nich miał ponad 10 krytycznych luk jednocześnie.
Skąd biorą się te dziury? Z prostej matematyki: producenci tanich routerów sprzedają urządzenia i na tym zarabiają. Wsparcie przez aktualizacje firmware jest kosztowne i nie generuje przychodu. Większość modeli z segmentu konsumenckiego i małego biura otrzymuje aktualizacje przez 2 do 3 lat — po czym producent milcząco kończy wsparcie, nie informując o tym użytkowników.

Router, który kupiłeś w 2019 roku, prawdopodobnie od 2022 roku nie otrzymał żadnej łatki bezpieczeństwa. A luki bezpieczeństwa są odkrywane i publikowane dalej — co miesiąc, co tydzień, czasem codziennie.
Obsługując firmy w ramach abonamentowego wsparcia IT w Częstochowie, regularnie przeprowadzamy audyty infrastruktury sieciowej. Spośród firm, które do nas trafiają, ponad 70% ma router z firmware starszym niż 3 lata. Co czwarta firma ma urządzenie całkowicie poza wsparciem producenta.

Które routery są najczęściej atakowane? Znasz te marki.

Katalog CISA Known Exploited Vulnerabilities (KEV) — lista podatności aktywnie wykorzystywanych przez hakerów — pełen jest wpisów dotyczących urządzeń, które stoją w tysiącach polskich biur.

TP-Link — CVE-2023-1389 (CVSS 9.8): podatność w routerze TP-Link Archer AX21, umożliwiająca zdalne wykonanie kodu bez logowania. W ciągu tygodni od publikacji stała się częścią botnetu Mirai, który atakuje inne sieci. W 2024 roku Kongres USA rozważał zakaz sprzedaży urządzeń TP-Link ze względów bezpieczeństwa.

D-Link — CVE-2023-25280 (CVSS 9.8): obejście uwierzytelnienia w wielu modelach routerów D-Link. D-Link oficjalnie poinformował, że część modeli nie otrzyma łatki — bo są poza wsparciem. Użytkownicy mają "kupić nowe urządzenie".

Netgear — CVE-2021-34991 i kilkanaście kolejnych: stos podatności umożliwiających przejęcie kontroli zdalnie. Część modeli Netgear SOHO nigdy nie otrzymała poprawek do dziś.

Asus — CVE-2023-39238, CVE-2023-39239 i inne: Asus wydał ostrzeżenie dotyczące kilku modeli routerów, wzywając użytkowników do natychmiastowej aktualizacji lub wyłączenia zdalnego dostępu. Wiele firm o tym nie wiedziało.

Cisco RV series (małe biuro) — wiele modeli z linii RV osiągnęło End of Life, a Cisco wprost przyznało, że krytyczne podatności w tych urządzeniach nie zostaną naprawione.

Żadna z tych marek nie jest "zła" sama w sobie. Problem leży w modelu biznesowym: tani router to sprzęt konsumencki, nie urządzenie klasy biznesowej. Nikt nie zaplanował tam wieloletniego wsparcia i regularnych aktualizacji bezpieczeństwa.

Jak hakerzy wchodzą przez stary router? Prawdziwy scenariusz.

W styczniu 2024 roku FBI i CISA wydały wspólne ostrzeżenie dotyczące operacji <strong>Volt Typhoon</strong> — chińskiej grupy powiązanej z rządem, która przez miesiące przebywała w sieciach firm i infrastruktury krytycznej w USA i Europie (CISA AA24-038A, 2024). Wejście: stare routery SOHO firm i małych biur. Nikt nic nie zauważył.

To nie jest wyjątek. To reguła. Oto jak wygląda typowy atak:

Faza 1 — Skanowanie (minuty). Zautomatyzowane skrypty skanują miliony adresów IP w poszukiwaniu routerów z podatną wersją firmware. Twój router odpowiada na zapytania z Internetu — to jego podstawowa funkcja. Skrypt to widzi.

Faza 2 — Wejście (minuty do godzin). Publicznie dostępny exploit (kod ataku) jest uruchamiany przeciwko podatnemu routerowi. Atakujący uzyskuje dostęp — często do panelu administracyjnego urządzenia, przez które widzi całą sieć wewnętrzną firmy.

Faza 3 — Rozpoznanie (dni do tygodni).< Hakerzy cicho mapują sieć. Widzą, ile jest komputerów, gdzie są serwery, pliki, kopie zapasowe. Nie śpieszą się. Nikt ich nie widzi.

Faza 4 — Atak (minuty). Ransomware szyfruje wszystko jednocześnie — komputery, serwery, dyski sieciowe. Pracownicy przychodzą rano i widzą ekran z żądaniem okupu.

Średni czas przestoju po ataku ransomware w małej firmie to 21 dni roboczych. Dla wielu firm — koniec działalności.

Jeśli chcesz zobaczyć, jak taki atak wygląda od środka krok po kroku, przeczytaj nasz post: jak wygląda atak ransomware na małą firmę.

Dlaczego "nowy tani router" to wciąż zły pomysł?

Kuszące jest zastąpienie starego TP-Linka nowym TP-Linkiem za 200 zł. Problem nie znika — przesuwa się w czasie o 2–3 lata.

Tanie routery konsumenckie i SOHO są projektowane pod kątem ceny, nie bezpieczeństwa. Mają:

• Brak centralnego zarządzania — nie można zdalnie sprawdzić stanu wielu urządzeń
• Brak logowania zdarzeń — gdy coś się dzieje, nie masz żadnych danych do analizy
• Brak segmentacji sieci — wszystkie urządzenia w jednej sieci, bez izolacji
• Krótki cykl wsparcia — 2–3 lata, potem cisza
• Brak integracji z systemami bezpieczeństwa — antywirus, EDR, SIEM nie widzą co dzieje się na poziomie sieci

Kiedy przejmujemy opiekę nad nową firmą w ramach outsourcingu IT w Częstochowie, pierwsza rzecz, którą sprawdzamy, to urządzenie na granicy sieci. Jeśli to router konsumencki — niezależnie od marki i wieku — rekomendujemy wymianę. Nie dlatego, że chcemy sprzedać sprzęt, ale dlatego, że żadna konfiguracja nie zastąpi fundamentalnie innego podejścia do bezpieczeństwa wbudowanego w urządzenia klasy biznesowej.

Co zamiast taniego routera? Firewall klasy biznesowej.

Tutaj w grę wchodzi urządzenie z innej półki — i innej filozofii projektowania.

FortiGate to linia firewalli firmy Fortinet — jednego z największych producentów rozwiązań bezpieczeństwa sieciowego na świecie. ITFast jest certyfikowanym partnerem Fortinet, co oznacza, że projektujemy, wdrażamy i serwisujemy te urządzenia w firmach każdej wielkości.

Czym FortiGate różni się od routera z marketu?

Aktywne wsparcie przez 7–10 lat. Fortinet regularnie wydaje aktualizacje firmware dla wszystkich aktywnych modeli — nie tylko poprawki bezpieczeństwa, ale też nowe funkcje ochronne reagujące na nowe zagrożenia.

FortiGuard Threat Intelligence. Sieć sensorów Fortinet analizuje globalny ruch internetowy w czasie rzeczywistym. Gdy nowa technika ataku jest wykryta gdziekolwiek na świecie, sygnatura ochronna trafia na Twoje urządzenie automatycznie — zanim ktokolwiek spróbuje użyć jej przeciwko Twojej sieci.

Pełna widoczność sieci. FortiGate rejestruje każde połączenie, każdą próbę nieautoryzowanego dostępu, każdą anomalię. Jako wsparcie IT dla firm w Częstochowie mamy wgląd w te dane i reagujemy zanim problem urośnie do rangi incydentu.

Segmentacja i kontrola dostępu. Goście w firmie, urządzenia IoT (drukarki, kamery, czujniki), sieć pracownicza, VPN dla zdalnych pracowników — każda z tych grup trafia do osobnej strefy sieciowej. Nawet jeśli atakujący wejdzie do jednej strefy, nie dostanie się do reszty.

Centralne zarządzanie. Jedno urządzenie, jeden panel, pełna kontrola. Dla firm z kilkoma lokalizacjami — zarządzanie wszystkim z jednego miejsca.

Ile to kosztuje? I ile kosztuje brak tego?

FortiGate dla małej firmy (5–20 stanowisk) to koszt rzędu 2 000–5 000 zł za urządzenie plus roczna licencja bezpieczeństwa (FortiGuard). W przeliczeniu na miesiąc — mniej niż 300–500 zł.

Dla porównania:

• Średni okup żądany od małej firmy po ataku ransomware: 812 000 USD
• Koszt odtworzenia danych i systemów po ataku: 50 000–200 000 zł (dane własne, na podstawie obsługiwanych incydentów)
• Przestój 21 dni roboczych w firmie 10-osobowej: dziesiątki tysięcy złotych strat operacyjnych
• Utracone kontrakty i reputacja: niepoliczalne

Żaden sprzęt nie daje 100% gwarancji bezpieczeństwa. FortiGate w połączeniu z dobrą polityką kopii zapasowych i ochroną antywirusową na stacjach roboczych tworzy jednak kilka niezależnych warstw ochrony — i to jest właśnie cel.

Jeśli zależy Ci na bezpieczeństwie IT w firmie i chcesz wiedzieć, czy Twoja obecna sieć jest podatna na ataki, zacznij od audytu sieci Wi-Fi — opisujemy, na co zwrócić uwagę, w tym artykule: dlaczego firmowa sieć Wi-Fi jest podatna na ataki.

Jak sprawdzić, czy Twój router jest zagrożony? 3 pytania.

Nie musisz być informatykiem, żeby ocenić ryzyko. Odpowiedz sobie na te trzy pytania:

1. Kiedy ostatnio aktualizowano firmware routera?

Jeśli nie wiesz — prawdopodobnie nigdy. Sprawdź w panelu administracyjnym urządzenia (wpisz adres routera w przeglądarkę, zwykle 192.168.1.1). Znajdź wersję firmware i porównaj z aktualną na stronie producenta.

2. Ile lat ma urządzenie?

Router starszy niż 4–5 lat z dużym prawdopodobieństwem jest poza wsparciem producenta. Nawet jeśli działa bez zarzutu — to nie znaczy, że jest bezpieczny.

3. Czy ktoś odpowiedzialny regularnie to sprawdza?

Jeśli nie masz informatyka (wewnętrznego lub zewnętrznego), który to monitoruje — nikt nie sprawdza. Zagrożenia bezpieczeństwa nie wysyłają powiadomień.
Jeśli odpowiedź na którekolwiek z tych pytań jest niepokojąca, skontaktuj się z nami. Jako informatyk w Częstochowie oferujemy bezpłatny audyt infrastruktury sieciowej — przyjedziemy, sprawdzimy i powiemy wprost, co wymaga uwagi.</p>
W jednej z firm, które przejęliśmy pod opiekę w 2024 roku, znaleźliśmy router TP-Link z firmware z 2018 roku, wystawiony bezpośrednio na Internet z włączonym zdalnym zarządzaniem. Urządzenie było podatne na 3 krytyczne CVE. Właściciel nie wiedział, że takie coś istnieje. Wymiana na FortiGate i konfiguracja zajęły nam pół dnia. Koszt — ułamek tego, co zapłaciłby za odtwarzanie danych po ataku.

Podsumowanie

Stary router to nie sentyment. To aktywnie eksploatowana podatność, na którą polują zautomatyzowane skrypty i zorganizowane grupy przestępcze — 24 godziny na dobę, 7 dni w tygodniu.

Dobre wieści są dwie: po pierwsze, to problem rozwiązywalny. Po drugie, rozwiązanie — FortiGate klasy biznesowej — jest dostępne dla firm każdej wielkości i kosztuje wielokrotnie mniej niż jeden dzień przestoju po ataku.

Jeśli nie wiesz, jaki router masz, kiedy był aktualizowany i czy jest jeszcze wspierany — napisz lub zadzwoń. Przeprowadzimy bezpłatny audyt sieci i powiemy wprost, co robić.

Zamów bezpłatny audyt sieci — sprawdzimy Twój router i całą infrastrukturę sieciową. Bez opłat, bez zobowiązań.