Klienci UPC – należącej do Play – zgłaszają problemy z routerami firmy. Otrzymują ostrzeżenia od swoich antywirusów, dziwne komunikaty i zauważają spadki prędkości. Wszystko wiąże się z tym, że routery od UPC ustawiają suffix DNS na adres utopia[.]net.
Jeden z czytelników zgłaszający problem do Niebezpiecznika.pl opisuje go w następujący sposób [pisownia oryginalna]:
Tydzien temu w srode internet (z UPC/Play) zaczal mi szwankowac (spadki predkosci z oferowanego 1000 bylo raptem 170 mbps. Zadzwonilem do ISP, zaproponowali mi technika. Do sieci miałem podpiety swoj PC – LAN, Laptop z pracy i laptop żony. Laptop z pracy nie chcial sie łaczyc na WIFI – cisco anyconnect zatrzymywalo sie na authenticating i nie szlo dalej. Sprawdzilem hotspot z telefonu – DZIALA. LAN dziala ale spadki predkosci …
W sobotę przyjechal technik – okazalo sie ze cos router szwankuje, dal mi “nowy” i heja. Działało 1 dzien. Na drugi dzien znow spadki takie jak wczesniej. We wlasciwosciach karty sieciowej widze ze po IPv6 – brak dostepu do internetu. W cmd wpisalem ipconfig /all i wyplulo mi:
Connection-specific DNS Suffix . : utopia.net
Zlapalem sie za glowe WTF. Na reddicie czy innych forach pisza ze DNS hijacked.
Pozostali zauważyli również próby włamania na komputer przez utopia[.]net czy to, że DHCP próbuje wstrzyknąć plik WPAD z domeny.
Po zgłoszeniu problemów na infolinię użytkownicy otrzymali dosyć podstawowe podpowiedzi. Przede wszystkim mieli zresetować router, żeby wymienić router lub otrzymywali informację, że problem dotyczy tylko tej konkretnej osoby.
Pojawiła się też odpowiedź następującej treści:
Informujemy, że Utopia to system zarządzający konfiguracją usług sieciowych na bramce, np. DHCP. Jest to w pełni bezpieczne oprogramowanie, które nie stanowi zagrożenia dla działania ani bezpieczeństwa systemu.
DNS Suffix – czym jest i skąd te problemy?
DNS Suffix to mechanizm, który powoduje, że to co znajduje się w suffiksie jest automatycznie dodawane do hostów. Pozostawienie niezaufanego DNS Suffixu może spowodować przechwycenie ruchu. Najprawdopodobniej to właśnie spotkało użytkowników routerów UPC/Play.
Play odpowiada
Firma Play odniosła się do zgłoszeń o problemach.
Problemy z suffixem utopia.net wynikały z firmware’u instalowanego podczas aktualizacji sprzętu. Router CPE Sagemcom wykorzystał domyślny mechanizm z systemu RDK-B o nazwie Utopia. W efekcie użyty został suffix DNS utopia.net, który przez niektóre systemu antywirusowe mógł być identyfikowany jako malware. Po otrzymaniu zgłoszenia natychmiast przygotowaliśmy poprawkę, którą wdrażamy we wszystkich urządzeniach.
Jeśli chodzi o zaniżoną prędkość – dostaliśmy kilka zgłoszeń w tej sprawie. Również w tym wypadku przygotowaliśmy zmianę, która rozwiązuje problem. Chcę podkreślić, że zdecydowana większość urządzeń działała i działa poprawnie.
W obu wypadkach nasi klienci nie muszą podejmować żadnych działań.
Źródło: Niebezpiecznik.pl