一组攻击者设法妥协300000家庭和小型办公无线路由器,改变其设置使用流氓DNS服务器,根据互联网安全研究组织团队库姆。
今年一月,队伍库姆的研究人员确定了两个TP-Link无线路由器其设置被更改为DNS(域名系统)请求发送到两个特定的IP地址:5.45.75.11和5.45.76.36。在这些IP地址运行流氓DNS服务器的分析表明消费类网络设备的质量规模的妥协。
在一个星期内,超过30万个独立IP地址发送DNS请求到两台服务器,团队库姆研究者说,一份报告周一发布。他们说,其中许多IP地址对应于一系列路由器,包括D-Link、Micronet、Tenda、TP-Link和其他制造商的型号,这些路由器的DNS设置被恶意更改。
研究人员认为,这些设备均使用利用一些已知漏洞的不同的技术损害。许多受影响的设备有自己的管理界面从Internet访问,使他们容易受到使用默认凭据,如果它们的主人并没有改变他们强力密码猜测攻击或未经授权的访问,研究人员说。
有相当多的设备似乎也容易受到安全漏洞的报道,一月的ZyNOS,由合勤科技创造了一个路由器的固件也用于对路由器型号从其他制造商。该漏洞允许攻击者远程下载包含脆弱路由器的配置文件不进行认证,解析它以提取路由器的管理界面的密码。
根据Cymru研究小组的研究,攻击者还可能使用跨站点请求伪造(CSRF)来利用TP链路路由器中自去年以来已知的漏洞。
CSRF攻击涉及将恶意代码的网站,以力访问者的浏览器上发送特制请求第三方URL。如果用户进行身份验证的第三方网站,该网站没有CSRF保护,恶意请求可以滥用用户在该网站上获得执行未经授权的操作。这种类型的攻击也被称为会话控制。
攻击者可以利用CSRF技术来攻击路由器时,他们的管理界面是通过其拥有者的浏览器请求代理,并利用自己的身份验证的会话只能从局域网访问。
团队库姆研究者指出,去年在各TP-Link的报道路由器型号两个漏洞已知会已通过CSRF攻击的目标。一个允许攻击者将管理员密码替换为空密码另一个允许更改路由器的DNS设置,即使恶意请求包含虚假凭据。
研究人员说,第一个漏洞是针对运行固件版本3.0.0 build 120531的TP-Link TD-8840T路由器成功测试的,该路由器是攻击活动中发现的第一个受害者设备之一。据报道,第二个漏洞影响运行各种固件版本的TP-Link WR1043ND、TL-MR3020和TL-WDR3600,但也可能影响其他型号。
TP-Link的发布了一些受影响的机型的固件补丁,但用户很少更新自己的家庭路由器和其他网络设备。
由Team库姆确定的质量妥协具有一些相似于本月初报道的另一次攻击运动,改变了波兰的家用路由器的DNS设置拦截网上银行会话. 据信,这一攻击还利用了ZynOS的漏洞,但Cymru团队认为,这与他们确定的更大规模的攻击活动是分开的。
在波兰的攻击中,黑客使用了不同的流氓DNS服务器,目标是更集中的地理区域内的一小部分用户,并特别关注拦截与波兰银行网站的连接。
“与此相反,攻击者设置设备的IP地址5.45.75.11和5.45.75.36已经受损设备的一个非常大的游泳池,和受控设备大块特定互联网服务供应商,在SOHO的同质性[小型办公室/家庭办公室]路由器中,”球队库姆研究者称型号,配置和固件版本可能允许攻击轻松扩展。
Cymru团队发现,在这次攻击行动中受损的路由器大部分位于越南(约16万个IP地址),但总体而言,这一行动是全球性的。除越南外,按受害者人数计算,前十名的国家是印度、意大利、泰国、哥伦比亚、波斯尼亚和黑塞哥维那、土耳其、乌克兰、塞尔维亚和厄瓜多尔。美国排在第11位。
“这种攻击的规模表明一个更传统的犯罪意图,比如搜索结果重定向,更换广告,或安装驱动的下载,所有的活动,需要大规模的盈利来完成,”研究人员说。“在波兰看到的更多的人工密集的银行账户转账就难以开展反对这么大的和地理,不同受害群体。”
研究人员还观察到,攻击者使用的两台DNS服务器对请求的响应是间歇性的,这意味着受害者可能遇到了互联网连接问题。DNS是一项重要的服务,用于将域名转换为数字IP地址。如果没有这个功能,计算机将无法使用其域名访问任何网站。
通过控制DNS解析,当用户试图访问合法网站时,攻击者可以透明地将用户重定向到其控制的服务器,这使得从流量窥探到劫持搜索查询以及将漏洞攻击、广告和其他恶意内容注入流量等各种攻击成为可能。
这一最新报道的大规模妥协是最近发现的一系列针对家庭路由器的大规模攻击中的最新一次。除了波兰的网上银行攻击,安全研究人员还发现了一个感染Linksys路由器的蠕虫. 华硕路由器最近的漏洞也左数千USB连接的硬盘驱动器的暴露从Internet远程访问。
“我们的研究表明,对路由器的威胁将继续增加,因为恶意行为者认识到多少信息可以通过攻击这些设备来获得,”克雷格年轻,Tripwire的一位安全研究人员说,通过电子邮件。
Tripwire的研究团队发现,在SOHO最畅销的25款无线路由器中,有80%存在安全漏洞亚马逊网站杨说。
“这些脆弱的车型,34%的人公开发布的漏洞,使得它相对简单的黑客手艺针对每一个漏洞的系统,他们可以找到既具有高度针对性的攻击或普通攻击,”研究人员说。
Young和Cymru团队的研究人员都建议用户禁用路由器上的互联网远程管理,并保持固件的最新状态。如果绝对需要远程管理,则应采取步骤将远程访问限制为仅访问特定的IP地址。其他建议包括:更改默认密码,不使用LAN的默认IP地址范围,每次访问路由器接口后都注销,经常检查路由器的DNS设置以确保它们没有被修改,如果选项为可用。