Richten cybercriminelen zich bij het aanvallen van kwetsbaarheden vooral op browsers en browserplug-ins, toch zijn ook routers een interessant doelwit. Een bekende onderzoeker heeft namelijk een exploitkit ontdekt die lekken in de routers van onder andere Belkin, TP-Link en D-Link aanvalt.
Het gaat om kwetsbaarheden die in 2008, 2013 en 2015 zijn onthuld en gepatcht. Aangezien routers niet automatisch worden geüpdatet en veel consumenten beschikbare updates niet zelf installeren, kan het inderdaad voorkomen dat er nog routers in omloop zijn met kwetsbaarheden van zeven jaar geleden. Daarnaast voert de exploitkit ook brute force-aanvallen uit op allerlei andere modellen, waaronder die van Microsoft en Linksys. In het geval de aanvallen succesvol zijn wordt de DNS van de router aangepast. Hierdoor kunnen aanvallers het verkeer van de aangevallen router langs hun eigen servers laten lopen, of gebruikers van de aangevallen router naar phishingsites doorsturen.
Beveiligingsonderzoeker 'Kafeine' van het blog Malware Don't Need Coffee ontdekte de exploitkit. Die blijkt alleen vanaf bepaalde IP-reeksen te werken. Zodra een router is aangepast worden de IP-adressen van de DNS-servers gewijzigd en daarna de router herstart. Als tweede DNS-server wordt standaard de DNS-server van Google ingesteld. Dit moet volgens de onderzoeker voorkomen dat gebruikers iets vermoeden als er problemen met het IP-adres van de eerste DNS-server ontstaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.