攻擊者正利用DrayTek路由器0day漏洞修改DNS設置

導語：5月18日，臺灣寬帶CPE（客戶端設備）製造商DrayTek宣佈稱，黑客正在利用其DrayTek路由器中存在的零日漏洞，來更改部分路由器的DNS設置。

DrayTek是一家臺灣寬帶CPE（客戶端設備）製造商，其生產的設備主要包括路由器、交換機、防火牆以及VPN設備等。5月18日，該公司宣佈稱，黑客正在利用其DrayTek路由器中存在的0day漏洞，來更改部分路由器的DNS設置。

5月18日早些時候，該公司在其英國網站上發佈了安全公告，詳細說明了如何檢查及更正DNS設置。此外，該公司還承諾將提供固件更新以修補攻擊中利用的0day漏洞。

之後，在其國際網站上發佈的第二份安全公告中，該公司發佈了5月18日以及未來幾天即將推出的設備和固件版本清單，完整列表如下所示：

· Vigor120，版本3.8.8.2

· Vigor122，版本3.8.8.2

· Vigor130，版本3.8.8.2

· VigorNIC 132，版本3.8.8.2

· Vigor2120系列，版本3.8.8.2

· Vigor2132，版本3.8.8.2

· Vigor2133，版本3.8.8.2

·

· Vigor2762，版本3.8.8.2

· Vigor2832，版本3.8.8.2

· Vigor2860，版本3.8.8

· Vigor2862，版本3.8.8.2

· Vigor2862B，版本3.8.8.2

· Vigor2912，版本3.8.8.2

· Vigor2925，版本3.8.8.2

· Vigor2926，版本3.8.8.2

· Vigor2952，版本3.8.8.2

· Vigor3220，版本3.8.8.2

· VigorBX2000，版本3.8.8.2

· VigorIPPBX3510，版本3.8.8.2

· Vigor2830nv2，版本3.8.8.2

· Vigor2820，版本3.8.8.2

· Vigor2710，版本3.8.8.2

· Vigro2110，版本3.8.8.2

· Vigro2830sb，版本3.8.8.2

· Vigor2850，版本3.8.8.2

· Vigor2920，版本3.8.8.2

利用0day漏洞而不是密碼猜測攻擊入侵路由器

根據安全研究人員最初的評估認為，攻擊者正是利用DrayTek路由器所有者未曾修改的默認密碼來登錄設備，併成功更改DNS設置的。但是，後來證實這一理論是錯誤的，因為一些受影響的設備所有者澄清稱，他們已經更改了默認憑據，這就意味著，攻擊者很可能是利用了路由器中的未知漏洞實施的攻擊。

5月18日早些時候，受影響的DrayTek路由器所有者確認稱，攻擊發生在沒有攻擊者登錄的情況下，並在Reddit上寫道，

我的兩臺DrayTek路由器的DNS設置都已經遭到了修改，但是查看系統日誌顯示沒有人登錄過。

除此之外，DrayTek公司準備發佈固件補丁，也就意味著這些攻擊很可能是通過0day漏洞利用實現的，因為公司習慣通過發佈固件補丁來修復其代碼中的漏洞。

目前還不清楚攻擊者試圖通過未知的IP（38.134.121.95）重定向DNS請求是為了實現什麼目的，儘管一些人認為攻擊者正在試圖執行中間人（MitM）攻擊，但是我認為最有可能的目的是將用戶重定向到一個或多個合法站點的虛假副本中。

此外，根據Sky社區論壇上發佈的帖子顯示，這些攻擊活動看起來至少持續了兩週時間。通過簡單的Shodan搜索可以顯示超過800,000個在線連接的DrayTek設備。

儘管受影響設備規模十分廣泛，但慶幸的是，並非所有路由器設備都易受未知攻擊者的攻擊影響。該公司表示，其無線接入點（VigorAP系列）、交換機（VigorSwitch系列）以及Vigor 2950、2955、2960、3900和3300系列路由器均不受此次攻擊影響，不需要進行更新（但仍然應始終運行最新的固件）。

檢測及緩解建議

DrayTek在其發佈的安全公告中建議用戶可以通過以下步驟緩解攻擊威脅：

立即更新您的固件，或在更新的軟件可用後立即更新。在進行升級之前，請備份當前的設置，以備日後恢復（系統維護->配置備份）。請使用.ALL文件進行升級，否則將擦除路由器設置。

請檢查您路由器上的DNS和DHCP設置。如果您有支持多個LAN子網的路由器，請檢查每個子網的設置。目前已知的流氓DNS服務器是38.134.121.95，如果你看到，就說明你的路由器已經改變，請儘快進行修改。再說一下DHCP的情況，DHCP服務器可能被禁用，這通常會導致LAN上的錯誤，因為設備無法使用IP地址發佈，所以問題會更加明顯。

如果您的設置看起來已被破壞，恢復配置備份或手動檢查並更正所有設置。更改您的管理員密碼，並檢查是否已添加其他管理員用戶。

如果您的路由器已啟用遠程訪問，請在不需要時禁用它，並儘可能使用訪問控制列表。如果您還沒有更新固件，請禁用遠程訪問。ACL不適用於SSL VPN連接（端口443），因此您應該暫時禁用SSL VPN，直到更新固件。

始終為您的路由器、LAN和WAN端使用安全連接（SSL / TLS1.2）。為此，只需在地址前加上https：//前綴即可。禁用非SSL / TLS連接：

建議在頂部（上方）啟用“啟用驗證代碼”選項，因為它為web管理員登錄頁面添加了“驗證碼”樣式選項。

發現可疑行為請及時上報我們。如果您啟用了系統日誌，請將它們安全地發送給我們。

上報地址：https://www.draytek.co.uk/support/techquer

最後，DrayTek表示還在對問題進行深入分析和調查，並會在未來根據情況發佈更新程序，目前，出於安全因素，暫時不會提供進一步的細節說明。

英國/愛爾蘭用戶的固件更新程序已經發布，其他地區的用戶可以諮詢當地的DrayTek辦事處或我們的總部。固件自5月18日開始提供，但是需要注意的是，超過5年的老舊版本可能不會收到此次更新。

閱讀更多 網絡安全焦點 的文章

關鍵字: 軟件 黑客 設置