image

D-Link routers kwetsbaar voor DNS-kaping

dinsdag 3 februari 2015, 12:06 door Redactie, 3 reacties

Verschillende routers van netwerkfabrikant D-Link bevatten een kwetsbaarheid waardoor een aanvaller op afstand en zonder inloggegevens de DNS-instellingen van de apparaten kan aanpassen. Op deze manier kan de aanvaller het verkeer van de gehackte router via zijn servers laten lopen, zo meldt PC World.

De kwetsbaarheid bevindt zich in de ZynOS-routerfirmware, ontwikkeld door fabrikant ZyXEL. Naast D-Link wordt de firmware ook door andere fabrikanten gebruikt, waaronder TP-Link en ZTE. Via het lek is het mogelijk om zonder geldige gebruikersnaam en wachtwoord toegang tot de beheerdersinterface te krijgen. Het probleem speelt zowel bij een beheerdersinterface die direct toegankelijk via internet is als een interface die alleen lokaal toegankelijk is. In dit laatste geval moet een aanvaller een CSRF-aanval uitvoeren.

Eenmaal toegang tot de interface kan de aanvaller de DNS-instellingen wijzigen. Het Domain Name System (DNS) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar IP-adressen. Door de DNS-kaping kan een aanvaller het verkeer van gebruikers manipuleren. Voor zover bekend is het lek aanwezig in de D-Link DSL-2740R en de D-Link DLS-320B. Beide modellen zijn in Nederland verkocht, waarbij de DLS-320B nog steeds wordt aangeboden.

Onderzoeker Todor Donev die het probleem ontdekte rapporteerde dit niet aan fabrikant D-Link, waardoor er nog geen update beschikbaar is. Daar komt bij dat de DSL-2740R een uitgefaseerd model is. Donev stelt tegenover Threatpost dat ook andere modellen kwetsbaar zijn, maar dat hij niet de middelen heeft om alle getroffen apparaten te testen. Inmiddels heeft hij ook een exploit online gezet om de aanval te demonstreren.

Reacties (3)
03-02-2015, 13:47 door Anoniem
rapporteerde dit niet aan fabrikant D-Link
Maar wel zeggen dat je een witte hoed draagt.
03-02-2015, 13:56 door quikfit
16 Januari heb ik een topic geopend https://www.security.nl/posting/415226/ERROR%3Anetwork+change+notifier%3F

Heeft dit hier soms mee te maken?
Heb later nog geprobeerd om het D-Link programma via het meegeleverde schijfje te installeren....en kreeg een waarschuwing dat dit programma niet op een 64 bit computer geïnstalleerd kon worden terwijl ik het altijd gebruikt heb vanaf dat ik de PC heb!?

Gr. Quikfit
03-02-2015, 14:38 door Anoniem
Deze issue bij deze router valt in het niet bij de RomPage TR-069 vulnerability. https://www.security.nl/posting/412557/12+miljoen+routers+kwetsbaar+voor+cookie-aanval

Op de 31C3 een mooie presentatie door de onderzoekers http://events.ccc.de/congress/2014/Fahrplan/events/6166.html. In sommige landen zijn 50% van alle ip-adressen kwetsbaar. En het meerendeel van de modems zal nooit worden geupgrade!

http://media.ccc.de/browse/congress/2014/31c3_-_6166_-_en_-_saal_6_-_201412282145_-_too_many_cooks_-_exploiting_the_internet-of-tr-069-things_-_lior_oppenheim_-_shahar_tal.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.