攻擊者正利用DrayTek路由器0day漏洞修改DNS設定

DrayTek是一家臺灣寬頻CPE（客戶端裝置）製造商，其生產的裝置主要包括路由器、交換機、防火牆以及VPN裝置等。5月18日，該公司宣佈稱，黑客正在利用其DrayTek路由器中存在的0day漏洞，來更改部分路由器的DNS設定。

就在多位DrayTek路由器使用者在Twitter上報告稱，發現了DrayTek路由器的DNS設定已經更改，並指向位於38.134.121.95的未知伺服器之後，該公司正式釋出了宣告並承認了此次攻擊事件。

5月18日早些時候，該公司在其英國網站上釋出了安全公告，詳細說明了如何檢查及更正DNS設定。此外，該公司還承諾將提供韌體更新以修補攻擊中利用的0day漏洞。

之後，在其國際網站上釋出的第二份安全公告中，該公司釋出了5月18日以及未來幾天即將推出的裝置和韌體版本清單，完整列表如下所示：

· Vigor120，版本3.8.8.2

· Vigor122，版本3.8.8.2

· Vigor130，版本3.8.8.2

· VigorNIC 132，版本3.8.8.2

· Vigor2120系列，版本3.8.8.2

· Vigor2132，版本3.8.8.2

· Vigor2133，版本3.8.8.2

· Vigor2760D，版本3.8.8.2

· Vigor2762，版本3.8.8.2

· Vigor2832，版本3.8.8.2

· Vigor2860，版本3.8.8

· Vigor2862，版本3.8.8.2

· Vigor2862B，版本3.8.8.2

· Vigor2912，版本3.8.8.2

· Vigor2925，版本3.8.8.2

· Vigor2926，版本3.8.8.2

· Vigor2952，版本3.8.8.2

· Vigor3220，版本3.8.8.2

· VigorBX2000，版本3.8.8.2

· VigorIPPBX2820，版本3.8.8.2

· VigorIPPBX3510，版本3.8.8.2

· Vigor2830nv2，版本3.8.8.2

· Vigor2820，版本3.8.8.2

· Vigor2710，版本3.8.8.2

· Vigro2110，版本3.8.8.2

· Vigro2830sb，版本3.8.8.2

· Vigor2850，版本3.8.8.2

· Vigor2920，版本3.8.8.2

利用0day漏洞而不是密碼猜測攻擊入侵路由器

根據安全研究人員最初的評估認為，攻擊者正是利用DrayTek路由器所有者未曾修改的預設密碼來登入裝置，併成功更改DNS設定的。但是，後來證實這一理論是錯誤的，因為一些受影響的裝置所有者澄清稱，他們已經更改了預設憑據，這就意味著，攻擊者很可能是利用了路由器中的未知漏洞實施的攻擊。

5月18日早些時候，受影響的DrayTek路由器所有者確認稱，攻擊發生在沒有攻擊者登入的情況下，並在Reddit上寫道，

我的兩臺DrayTek路由器的DNS設定都已經遭到了修改，但是檢視系統日誌顯示沒有人登入過。

除此之外，DrayTek公司準備釋出韌體補丁，也就意味著這些攻擊很可能是通過0day漏洞利用實現的，因為公司習慣通過釋出韌體補丁來修復其程式碼中的漏洞。

目前還不清楚攻擊者試圖通過未知的IP（38.134.121.95）重定向DNS請求是為了實現什麼目的，儘管一些人認為攻擊者正在試圖執行中間人（MitM）攻擊，但是我認為最有可能的目的是將使用者重定向到一個或多個合法站點的虛假副本中。

此外，根據Sky社群論壇上釋出的帖子顯示，這些攻擊活動看起來至少持續了兩週時間。通過簡單的Shodan搜尋可以顯示超過800,000個線上連線的DrayTek裝置。

儘管受影響裝置規模十分廣泛，但慶幸的是，並非所有路由器裝置都易受未知攻擊者的攻擊影響。該公司表示，其無線接入點（VigorAP系列）、交換機（VigorSwitch系列）以及Vigor 2950、2955、2960、3900和3300系列路由器均不受此次攻擊影響，不需要進行更新（但仍然應始終執行最新的韌體）。

檢測及緩解建議

DrayTek在其釋出的安全公告中建議使用者可以通過以下步驟緩解攻擊威脅：

立即更新您的韌體，或在更新的軟體可用後立即更新。在進行升級之前，請備份當前的設定，以備日後恢復（系統維護->配置備份）。請使用.ALL檔案進行升級，否則將擦除路由器設定。

請檢查您路由器上的DNS和DHCP設定。如果您有支援多個LAN子網的路由器，請檢查每個子網的設定。目前已知的流氓DNS伺服器是38.134.121.95，如果你看到，就說明你的路由器已經改變，請儘快進行修改。再說一下DHCP的情況，DHCP伺服器可能被禁用，這通常會導致LAN上的錯誤，因為裝置無法使用IP地址釋出，所以問題會更加明顯。

如果您的設定看起來已被破壞，恢復配置備份或手動檢查並更正所有設定。更改您的管理員密碼，並檢查是否已新增其他管理員使用者。

如果您的路由器已啟用遠端訪問，請在不需要時禁用它，並儘可能使用訪問控制列表。如果您還沒有更新韌體，請禁用遠端訪問。ACL不適用於SSL VPN連線（埠443），因此您應該暫時禁用SSL VPN，直到更新韌體。

始終為您的路由器、LAN和WAN端使用安全連線（SSL / TLS1.2）。為此，只需在地址前加上https：//字首即可。禁用非SSL / TLS連線：

建議在頂部（上方）啟用“啟用驗證程式碼”選項，因為它為web管理員登入頁面新增了“驗證碼”樣式選項。

發現可疑行為請及時上報我們。如果您啟用了系統日誌，請將它們安全地傳送給我們。

上報地址：https://www.draytek.co.uk/support/techquer

最後，DrayTek表示還在對問題進行深入分析和調查，並會在未來根據情況釋出更新程式，目前，出於安全因素，暫時不會提供進一步的細節說明。

英國/愛爾蘭使用者的韌體更新程式已經發布，其他地區的使用者可以諮詢當地的DrayTek辦事處或我們的總部。韌體自5月18日開始提供，但是需要注意的是，超過5年的老舊版本可能不會收到此次更新。

原文釋出時間為：2018-05-21本文來自雲棲社群合作伙伴“嘶吼網”，瞭解相關資訊可以關注“嘶吼網”。