Wereldwijd gehackte Drayteck routers ingezet voor DDos

DrayTek Security Update 18 mei 2018

DrayTek heeft nieuwe f/w versies ontwikkeld voor een security issue. Er zijn momenteel wereldwijd aanvallen gaande richting apparatuur met een publiekelijk beschikbare web interface.

Wanneer is de router kwetsbaar?
Indien de modem/router publiekelijk door de gebruiker is opengesteld en/of wanneer de SSLVPN server is ingeschakeld, kan de modem/router kwetsbaar zijn.

Advies:
Wij adviseren om alle DrayTek modem/routers te voorzien van de laatst beschikbare f/w. Daarnaast blijft het advies om remote management enkel met een access list te gebruiken.

Download Firmware
Download de laatste f/w versies op www.draytek.nl.

Modellen waarvoor nog geen firmware update beschikbaar is, adviseren wij remote management uit te schakelen of deze ten minste te gebruiken in combinatie met een access list. Firmwares voor deze modellen zullen spoedig beschikbaar worden gesteld op www.draytek.nl.

LET OP: Symptonen zijn dat op lan1 in ieder geval (maar check ook de overige lans) de dns is aangepast naar: 38.134.121.95 en als secundaire dns 8.8.8.8. Deze moeten weggehaald worden of vervangen worden door eigen dns servers. Daarna moet de firmware geupgrade en is het advies om dus de stappen op de Draytek.nl website te volgen om minder risico te lopen.

Wat heeft iemand eraan om deze DNS instellingen aan te passen?

Het wijzigen van uw DNS-serveradres lijkt misschien een vreemde en zeer onbelangrijke omgeving voor een hacker om te veranderen, maar het is waarschijnlijk ‘fase 1’ van een grotere aanval. Een DNS-server converteert webadressen (zoals www.somewebsite.com) in een IP-adres (194.114.12.12 of 2001: db8 :: 1) – de internetrouter-IP gebruikt numerieke adressen, geen namen.

Als iemand u doorverwijst naar een rogue DNS-server, kunnen zij uw browser naar een nep-site leiden als u denkt dat u naar uw favoriete website gaat. U logt daar in, de criminelen hebben dan uw gebruikersnaam en wachtwoord (een andere reden waarom mensen multifactor authenticatie zouden moeten gebruiken). De site zal u normaal gesproken omleiden naar de echte website om verdenking te voorkomen. Dit kunnen banksites, sociale media, andere financiële site of iets anders zijn. Als uw DNS is gewijzigd, raden we aan om wachtwoorden te wijzigen van websites die u onlangs hebt bezocht, met name financiële wachtwoorden, en uw routerbeheerder- en wifi-wachtwoord (en).

Op het moment van schrijven reageert het bekende frauduleuze adres (38.134.121.95) niet op DNS-query’s, dus het is mogelijk nog niet actief, of de eigenaar / operator van dat adres heeft de gehackte server nu offline gehaald. Als uw router is gehackt, werkt deze nog steeds als de hackers een secundair (legitiem) adres van 8.8.8.8 (Google) instellen als een fallback, zodat onbeschikbaarheid van hun nep-server er niet toe leidde dat u naar uw instellingen ging maar niet zo niet.

Bron: https://www.draytek.co.uk/support/security-advisories/kb-advisory-csrf-and-dns-dhcp-web-attacks

Delen op Social Media