【漏洞预警】DrayTek公司多个型号路由器产品最新的0day漏洞...

根据白帽汇安全研究院关注到的消息,黑客正在试图利用台湾一家公司——DrayTek旗下路由器产品的0day漏洞,该漏洞可更改使用者的DNS设置,黑客将其DNS IP更改为38.134.121.95。这可以使得恶意的攻击者将用户的访问篡改为恶意的站点,进行网络钓鱼等攻击。目前DreyTek已经就该漏洞发布公告,并紧急制作更新固件。这里提醒广大用户,及时检查自己的路由器设置,并关闭对外访问。保护自己的网络。

DrayTek成立于1997年,是一家网络解决方案供应商。目前,DrayTek的解决方案包括企业级防火墙,用于SoHo的关键任务VPN / VoIP设备,各种xDSL /宽带CPE,以及未来的电信产品和TR-069中央管理解决方案(例如VigorACS SI)。根据北京华顺信安的FOFA系统显示,目前DrayTek的路由器全网共有111万对外开放。

 

DrayTek旗下路由器全球网络资产分布情况(仅为分布情况,非漏洞影响情况)2222.png


 DrayTek旗下路由器中国网络资产分布情况(仅为分布情况,非漏洞影响情况)

漏洞原理与危害

DrayTek旗下路由器多款产品存在CSRF和DNS篡改漏洞。任意攻击者可以远程修改DrayTek旗下路由器的DNS设置,最终导致用户的访问的网站被重定向到恶意的网站,造成敏感且重要的信息被窃取、恶意流量劫持、广告劫持等安全风险。

而在许多用户使用路由器时为默认登录凭据,也是黑客利用的方法和手段之一。而在DrayTek官方也提供了默认凭据的内容(如下图)。4444.jpg


漏洞影响

目前潜在影响的版本包括:

  • Vigor120, version 3.8.8.2

  • Vigor122, version 3.8.8.2

  • Vigor130, version 3.8.8.2

  • VigorNIC 132, version 3.8.8.2

  • Vigor2120 Series, version 3.8.8.2

  • Vigor2132, version 3.8.8.2

  • Vigor2133, version 3.8.8.2

  • Vigor2760D, version 3.8.8.2

  • Vigor2762, version 3.8.8.2

  • Vigor2832, version 3.8.8.2

  • Vigor2860, version 3.8.8

  • Vigor2862, version 3.8.8.2

  • Vigor2862B, version 3.8.8.2

  • Vigor2912, version 3.8.8.2

  • Vigor2925, version 3.8.8.2

  • Vigor2926, version 3.8.8.2

  • Vigor2952, version 3.8.8.2

  • Vigor3220, version 3.8.8.2

  • VigorBX2000, version 3.8.8.2

  • VigorIPPBX2820, version 3.8.8.2

  • VigorIPPBX3510, version 3.8.8.2

  • Vigor2830nv2, version 3.8.8.2

  • Vigor2820, version 3.8.8.2

  • Vigor2710, version 3.8.8.2

  • Vigro2110, version 3.8.8.2

  • Vigro2830sb, version 3.8.8.2

  • Vigor2850, version 3.8.8.2

  • Vigor2920, version 3.8.8.2

漏洞POC

目前该漏洞POC还没有公开,白帽汇安全研究院收集漏洞POC。如果您是白帽子,手里有该漏洞POC,则可以提交至FOFA系统,我们会给予相应的奖励。

CVE编号

暂无

修复建议

  • 1、立即更新您的固件,或在更新的软件可用后立即更新。在进行升级之前,请备份当前的配置,以备日后恢复(系统维护 - >配置备份)。请使用.ALL文件进行升级,否则将擦除路由器设置。

  • 2、检查您的路由器上的DNS和DHCP设置。如果您支持多个LAN子网的路由器,请检查每个子网的设置。您的DNS设置应该是空白的,可设置为您的ISP的正确DNS服务器地址或您故意设置的服务器的DNS服务器地址(例如Google 8.8.8.8)。一个已知的恶意DNS服务器是38.134.121.95 - 如果你看到,你的路由器已经改变,请尽快修改。 在DHCP的情况下,DHCP服务器可能被禁用,这通常会导致LAN上的错误,因为设备无法使用IP地址发出,所以问题更加明显。

  • 3、禁止路由器端口对外访问。

白帽汇会持续对该漏洞进行跟进。后续可以关注本链接。

参考

[1] https://fofa.so/result?qbase64=YXBwPSJWaWdvci1Sb3V0ZXIi

[2] https://www.draytek.co.uk/support/security-advisories/kb-advisory-csrf-and-dns-dhcp-web-attacks

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐