» »

D-Linkovi usmerjevalniki že tri mesece tarče napadov

D-Linkovi usmerjevalniki že tri mesece tarče napadov

Slo-Tech - Od začetka leta so se neznani napadalci lotevali mrežnih usmerjevalnikov D-Link, prek katerih so napadali običajne uporabnike interneta. Med tarčami so bili D-Link DSL-2640B, DSL-2740R, DSL-2780B in DSL-526B, pa tudi nekaj drugih. Napadalci so zlorabili znane ranljivosti v firmwaru in v usmerjevalnike podtaknili lažne naslove strežnikov DNS.

Tako so uporabniki pri deskanju po internetu dobili napačne naslove. Ko je brskalnik vprašal, na katerem naslovu IP najde neko domeno, ga je usmerjevalnik preusmeril na lažen DNS, ki je odgovoril z zlonamernim naslovom IP. Na teh naslovih so stale kopije strani, kot so PayPal, Google ali Netflix. Če so uporabniki na teh straneh izdali kakšne osebne podatke, so šli ti v roke napadalcev.

Prvi val napadov se je zgodil konec decembra in v začetku januarja, drugi v začetku februarja, tretji pa konec marca. V zadnjih primeri sta se pojavljala naslova strežnikov DNS (195.128.126.165 in 195.128.124.131), ki gostujeta v Rusiji pri Inoventica Services. Podobne napade smo v preteklosti že videli. Za začetnika velja DNSChanger, s katerim so napadalci v zadnjih letih zbrali 14 milijonov dolarjev.

V napadih se napadalci zlorabili Google Cloud Platform. Omenjena storitev je namreč na voljo vsem, ki imajo svoj račun pri Googlu, in zaradi Googlovega visokega odzivnega časa predstavlja pogost vektor za izvajanje napadov. Napadalci so jo uporabili, da so poiskali ranljive usmerjevalnike na internetu, nato pa jih nastavili tako, da so uporabljali lažne strežnike DNS.

6 komentarjev

steev ::

Napadalci so zlorabili znane ranljivosti v firmwaru in v usmerjevalnike podtaknili lažne naslove strežnikov DNS.


In katera je ta znana ranljivost?
:|

war-dog ::

steev je izjavil:

Napadalci so zlorabili znane ranljivosti v firmwaru in v usmerjevalnike podtaknili lažne naslove strežnikov DNS.


In katera je ta znana ranljivost?


Verjetno tale, ki je tudi v članku: https://badpackets.net/ongoing-dns-hija...
Object reference not set to an instance of an object.

AštiriL ::

Ja. NIKOLI ne odpirat control interfacea v Internet! Uporabi odprt server in ssh tunel za remote LAN dostop.
Ostani 127.0.0.1, ko si 0.0.0.0, nosi 255.255.255.255.

Spock83 ::

D-Link je samo eden izmed ostalih soho proizvajalcih.

MrStein ::

Torej gre za ne-default nastavitev?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

SubjectX ::

Pri polovici routerjev, ki sem jih do zdaj konfiguriral, je bila ta nastavitev default on, pri drugi pa default off.. Nima firma veze..


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

D-Linkovi usmerjevalniki že tri mesece tarče napadov

Oddelek: Novice / Varnost
63308 (2011) SubjectX
»

Inovativen napad: Geolokacija, tudi brez vaše privolitve

Oddelek: Novice / Varnost
3413892 (11998) MrStein
»

Kritična ranljivost vprotokolu DNS

Oddelek: Informacijska varnost
52091 (1942) fiction
»

Nov napad na domača omrežja: Drive-By Pharming

Oddelek: Novice / Varnost
335773 (4409) Azrael
»

DNS amplification DDoS napad

Oddelek: Novice / Varnost
265633 (4361) jype

Več podobnih tem