导语:5月18日,台湾宽带CPE(客户端设备)制造商DrayTek宣布称,黑客正在利用其DrayTek路由器中存在的零日漏洞,来更改部分路由器的DNS设置。
DrayTek是一家台湾宽带CPE(客户端设备)制造商,其生产的设备主要包括路由器、交换机、防火墙以及VPN设备等。5月18日,该公司宣布称,黑客正在利用其DrayTek路由器中存在的0day漏洞,来更改部分路由器的DNS设置。
就在多位DrayTek路由器用户在Twitter上报告称,发现了DrayTek路由器的DNS设置已经更改,并指向位于38.134.121.95的未知服务器之后,该公司正式发布了声明并承认了此次攻击事件。
5月18日早些时候,该公司在其英国网站上发布了安全公告,详细说明了如何检查及更正DNS设置。此外,该公司还承诺将提供固件更新以修补攻击中利用的0day漏洞。
之后,在其国际网站上发布的第二份安全公告中,该公司发布了5月18日以及未来几天即将推出的设备和固件版本清单,完整列表如下所示:
· Vigor120,版本3.8.8.2
· Vigor122,版本3.8.8.2
· Vigor130,版本3.8.8.2
· VigorNIC 132,版本3.8.8.2
· Vigor2120系列,版本3.8.8.2
· Vigor2132,版本3.8.8.2
· Vigor2133,版本3.8.8.2
· Vigor2760D,版本3.8.8.2
· Vigor2762,版本3.8.8.2
· Vigor2832,版本3.8.8.2
· Vigor2860,版本3.8.8
· Vigor2862,版本3.8.8.2
· Vigor2862B,版本3.8.8.2
· Vigor2912,版本3.8.8.2
· Vigor2925,版本3.8.8.2
· Vigor2926,版本3.8.8.2
· Vigor2952,版本3.8.8.2
· Vigor3220,版本3.8.8.2
· VigorBX2000,版本3.8.8.2
· VigorIPPBX2820,版本3.8.8.2
· VigorIPPBX3510,版本3.8.8.2
· Vigor2830nv2,版本3.8.8.2
· Vigor2820,版本3.8.8.2
· Vigor2710,版本3.8.8.2
· Vigro2110,版本3.8.8.2
· Vigro2830sb,版本3.8.8.2
· Vigor2850,版本3.8.8.2
· Vigor2920,版本3.8.8.2
利用0day漏洞而不是密码猜测攻击入侵路由器
根据安全研究人员最初的评估认为,攻击者正是利用DrayTek路由器所有者未曾修改的默认密码来登录设备,并成功更改DNS设置的。但是,后来证实这一理论是错误的,因为一些受影响的设备所有者澄清称,他们已经更改了默认凭据,这就意味着,攻击者很可能是利用了路由器中的未知漏洞实施的攻击。
5月18日早些时候,受影响的DrayTek路由器所有者确认称,攻击发生在没有攻击者登录的情况下,并在Reddit上写道,
我的两台DrayTek路由器的DNS设置都已经遭到了修改,但是查看系统日志显示没有人登录过。
除此之外,DrayTek公司准备发布固件补丁,也就意味着这些攻击很可能是通过0day漏洞利用实现的,因为公司习惯通过发布固件补丁来修复其代码中的漏洞。
目前还不清楚攻击者试图通过未知的IP(38.134.121.95)重定向DNS请求是为了实现什么目的,尽管一些人认为攻击者正在试图执行中间人(MitM)攻击,但是我认为最有可能的目的是将用户重定向到一个或多个合法站点的虚假副本中。
此外,根据Sky社区论坛上发布的帖子显示,这些攻击活动看起来至少持续了两周时间。通过简单的Shodan搜索可以显示超过800,000个在线连接的DrayTek设备。
尽管受影响设备规模十分广泛,但庆幸的是,并非所有路由器设备都易受未知攻击者的攻击影响。该公司表示,其无线接入点(VigorAP系列)、交换机(VigorSwitch系列)以及Vigor 2950、2955、2960、3900和3300系列路由器均不受此次攻击影响,不需要进行更新(但仍然应始终运行最新的固件)。
检测及缓解建议
DrayTek在其发布的安全公告中建议用户可以通过以下步骤缓解攻击威胁:
立即更新您的固件,或在更新的软件可用后立即更新。在进行升级之前,请备份当前的设置,以备日后恢复(系统维护->配置备份)。请使用.ALL文件进行升级,否则将擦除路由器设置。
请检查您路由器上的DNS和DHCP设置。如果您有支持多个LAN子网的路由器,请检查每个子网的设置。目前已知的流氓DNS服务器是38.134.121.95,如果你看到,就说明你的路由器已经改变,请尽快进行修改。再说一下DHCP的情况,DHCP服务器可能被禁用,这通常会导致LAN上的错误,因为设备无法使用IP地址发布,所以问题会更加明显。
如果您的设置看起来已被破坏,恢复配置备份或手动检查并更正所有设置。更改您的管理员密码,并检查是否已添加其他管理员用户。
如果您的路由器已启用远程访问,请在不需要时禁用它,并尽可能使用访问控制列表。如果您还没有更新固件,请禁用远程访问。ACL不适用于SSL VPN连接(端口443),因此您应该暂时禁用SSL VPN,直到更新固件。
始终为您的路由器、LAN和WAN端使用安全连接(SSL / TLS1.2)。为此,只需在地址前加上https://前缀即可。禁用非SSL / TLS连接:
建议在顶部(上方)启用“启用验证代码”选项,因为它为web管理员登录页面添加了“验证码”样式选项。
发现可疑行为请及时上报我们。如果您启用了系统日志,请将它们安全地发送给我们。
上报地址:https://www.draytek.co.uk/support/techquer
最后,DrayTek表示还在对问题进行深入分析和调查,并会在未来根据情况发布更新程序,目前,出于安全因素,暂时不会提供进一步的细节说明。
英国/爱尔兰用户的固件更新程序已经发布,其他地区的用户可以咨询当地的DrayTek办事处或我们的总部。固件自5月18日开始提供,但是需要注意的是,超过5年的老旧版本可能不会收到此次更新。