DNS-malware wijzigt wereldwijd instellingen routers
Onlangs liet een bekende beveiligingsonderzoeker weten dat kwetsbaarheden in populaire routers actief door malware worden aangevallen, maar ook zwakke en standaardwachtwoorden blijken een manier te zijn waardoor aanvallers de controle over de apparaten krijgen. Anti-virusbedrijf Trend Micro waarschuwt voor DNS-changer malware. De malware voert vanaf het interne netwerk van de gebruiker brute force-aanvallen op de beheerdersinterface van de router uit.
Vervolgens worden de DNS-instellingen aangepast. Het Domain Name System (DNS) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar IP-adressen. Door de DNS van de router aan te passen kunnen criminelen het verkeer van gebruikers via hun server laten lopen. De meeste besturingssystemen zijn zo ingesteld om de DNS-instellingen van de router te gebruiken. Zodra een computer of ander apparaat verbinding met de router maakt, zullen de aangepaste DNS-instellingen worden gebruikt. Hierdoor kunnen aanvallers gebruikers van de aangevallen router naar bijvoorbeeld phishingsites doorsturen of malware laten downloaden.
"Aangepaste DNS-instellingen houden in dat gebruikers niet weten of ze naar betrouwbare of nagemaakte websites navigeren", zegt Fernando Merces. Hij merkt op dat gebruikers die het standaardwachtwoord van de router niet hebben aangepast met name risico lopen. De aanval begint via een phishingaanval, die naar een pagina met een script wijst. Dit script voert vervolgens vanaf het interne netwerk de brute force-aanval op de router uit. Doordat het de browser is die het script uitvoert, wordt het verkeer naar de router als een intern verzoek beschouwd.
Het script dat de aanvallers gebruiken probeert zowel het IP-adres als het wachtwoord van de router te raden. Het script ondersteunt verschillende modellen en fabrikanten, onder andere TP-Link en D-Link. De aanvallen lijken vooral op Brazilië gericht, waar 88,3% van de aangevallen apparaten werd waargenomen, gevolgd door de VS (2,9%) en Japan (1,3%). Gebruikers krijgen het advies om voor alle accounts op de router veilige wachtwoorden te gebruiken, het standaard IP-adres te wijzigen en de beheer op afstand-features uit te schakelen. Daarnaast wordt Firefox NoScript aangeraden, dat het uitvoeren van scripts in de browser kan blokkeren.
Het is een uitstekend advies.
U moet voor uw router een (eventueel tijdelijke) uitzondering maken, dus NIET NoScript uitzetten zoals ik veel te veel mensen zie doen. (En vervolgens vergeten het weer aan te zetten.)
Nog beter is het om alleen voor de echt gebruikte pagina(s) in uw router een uitzondering te maken.
Dat ziet er bij mij, voor de "geavanceerde" usb instellingen, zo uit: "http://192.168.2.1/UI/advanced_usb.html"
Vergeet ook niet om back-ups van uw routerinstellingen te maken.
Bij een aanval maakt u de internetverbinding van uw router los.
Druk 20 sec. op reset om de fabrieksinstellingen terug te zetten.
Als u niets gewijzigd had is dit voldoende.
En of zet de back-up terug.
Wijzig het password !!
Maak een nieuwe, incrementele, back-up.
Maar of dat bij iedereen helpt is de vraag, want afgelopen week zijn er weer heel wat kwetsbaarheden (ook andere dan hierboven beschreven) gepubliceerd:
https://packetstormsecurity.com/files/132092/D-Link-Devices-UPnP-SOAPAction-Header-Command-Execution.html
https://packetstormsecurity.com/files/132074/22-SOHO-Router-Vulnerabilities-Discovered.html
https://packetstormsecurity.com/files/132075/D-Link-Bypass-Buffer-Overflow.html
P.S. ik moest mandatory OCSP checks uitzetten wegens "OCSP old response" van packetstormsecurity.com.
Zelf heb ik NoScript altijd aan staan en maak ik hoogstens tijdelijke uitzonderingen.
Maar jij hebt NoScript dus altijd UIT staan, maar om op je router komen, zet je NoScript tijdelijk AAN.
Vertel...
Je kunt je de URL naar je router in de toestemmingenlijst van NoScript zetten.
Zelf heb ik NoScript altijd aan staan en maak ik hoogstens tijdelijke uitzonderingen.
Maar jij hebt NoScript dus altijd UIT staan, maar om op je router komen, zet je NoScript tijdelijk AAN.
Vertel...
Inderdaad staat NoScript bij mij altijd aan, en voor een zeer beperkt aantal sites maak ik permanente uitzonderingen (Javascript toestaan dus). Voor andere "sites", inclusief routers en andere apparatuur, maak ik inderdaad tijdelijke uitzonderingen.
Dat is vooral belangrijk bij apparatuur waar ik met mijn notebook op basis van een, niet uniek RFC 1918 adres, op in moet loggen (ik kom nogal eens "buiten de deur").
Dank voor de correctie!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
