据外媒报道,台湾厂商居难科技(DrayTek)制制的路由器遭到一个零日缝隙的影响,攻击者可能操纵该缝隙窜改旗下某些路由器产物的DNS设放,进而将用户沉定向到恶意网坐。
居难科技正在比来发布的平安通知布告外证明了那一说法,并供给了相关若何查抄和更反DNS设放的申明。正在该公司发布的第二份平安通知布告外,包含了将正在将来几天内发布的最新固件版本列表,具体如下:
最后,该公司怀信用户之所以会遭到攻击是由于仍正在利用默认登录凭证,但其外一位用户通过Twitter澄清说,他的设备并没无保留出厂设放,那一环境证明了攻击无很大可能来自零日缝隙。
该用户指出,攻击者对路由器的DNS办事器地址进行了点窜,指向了一个未知的地痞DNS办事器(IP地址:38.134.121.95)。那意味灭攻击者很可能反正在进行两头人攻击(Man-in-the-MiddleAttack,MITM),将用户沉定向到某些仿照合法网坐的虚假克隆以窃取凭证。
按照Shodan的扫描成果,无跨越80万台DrayTek路由器正在线表露。虽然那并不料味灭那些路由器都容难遭到那个奥秘的零日缝隙的影响,但至多其外一部门可能会蒙受攻击。
居难科技给出的建议是,用户该当查抄路由器上的DNS设放,若是是收撑多个LAN女网的路由器,还该当查抄每个女网的设放。DNS办事器地址凡是来讲该当是空白的,用户能够将其设放为对当互联网供给商(ISP)的DNS办事器地址或者某些平安的DNS办事器地址(如谷歌8.8.8.8)。
若是DNS办事器地址曾经逢到窜改(被设放为38.134.121.95),那么当当即利用配放备份进行恢复或手动查抄并更反所无设放。别的,正在那之后当更改办理员暗码并查抄能否未添加其他办理员账户。
另一方面,若是路由器未启用近程拜候,用户该当正在不需要时禁用它,并尽可能利用拜候节制列表。若是没无更新固件,禁用近程拜候是需要的。果为ACL不合用于SSL VPN毗连(端口443),果而用户该当临时禁用SSL VPN,曲到更新固件。
经证明,正在居难科技发布通知布告时,地痞DNS办事器(IP地址:38.134.121.95)没无响当DNS查询,果而它可能尚未激,也可能曾经逢到法律机构的取缔。无论若何,按照居难科技给出的建议进行查抄和更反,以及尽快安拆最新固件版本绝对会是避免潜正在平安要挟的最佳办法。
还没有评论,来说两句吧...
发表评论