Nieuws

Webverkeer D-Link DSL-routers onderschept door criminelen

vrijdag 5 april 2019, 09:55 door Redactie, 6 reacties

Criminelen hebben de afgelopen maanden het webverkeer van een onbekend aantal D-Link DSL-routers onderschept, alsmede routers van minder bekende fabrikanten. Dat laat Troy Mursch van Bad Packets Report weten. De aanvallers zoeken naar consumentenrouters die vanaf het internet toegankelijk zijn.

Vervolgens wordt via bekende kwetsbaarheden geprobeerd om de ingestelde dns-servers van de router aan te passen. Wanneer gebruikers een website bezoeken wordt het verzoek niet naar de dns-server van de provider gestuurd, maar naar de criminelen. Die kunnen gebruikers zo naar phishingsites en andere malafide websites doorsturen. Ook kan het webverkeer van gebruikers voor advertentiefraude worden gemanipuleerd.

Mursch voerde een scan naar kwetsbare routers uit en ontdekte 17.000 DSL-routers die vanaf het internet bereikbaar waren en waar aanvallers het op hebben voorzien. In de meeste gevallen ging het om D-Link DSL-2640B-routers (14.300) en TOTOLINK-routers (2.300). Gebruikers krijgen het advies om de firmware van hun router up-to-date te houden en de dns-instellingen te controleren.

Backdoor in populaire Bootstrap-Sass Ruby-library ontdekt

Londens district beboet voor lekken data vermeende bendeleden

Reacties (6)

05-04-2019, 10:40 door Anoniem

De echte DNSSEC fanaten zullen nu vast zeggen dat dit allemaal voorkomen had kunnen worden. Dat klopt ook, zolang je de validatie maar op het systeem uitvoert en niet enkel op de resolver (gehackte router in dit geval). Helaas is ondersteuning voor validatie op het endpoint nog lang geen gemeengoed. Daarmee is en blijft DNS voorlopig nog een systeem dat niet te vertrouwen is...

05-04-2019, 10:48 door Anoniem

Nieuws van een tijdje geleden, is nu geweaponised door criminelen. D-Link DSL-2640B even nagekeken: er zijn 3 revisies en hieronder de nieuwste firmware:

2.06 Huidige firmware 22-1-2013
EU_5.00 Huidige firmware 3-4-2010
EU_4.01 Huidige firmware 2-3-2009

Kortom bullshit advies om te updaten. Bye bye D-link.

05-04-2019, 11:32 door Anoniem

Door Anoniem: De echte DNSSEC fanaten zullen nu vast zeggen dat dit allemaal voorkomen had kunnen worden. Dat klopt ook, zolang je de validatie maar op het systeem uitvoert en niet enkel op de resolver (gehackte router in dit geval). Helaas is ondersteuning voor validatie op het endpoint nog lang geen gemeengoed. Daarmee is en blijft DNS voorlopig nog een systeem dat niet te vertrouwen is...

Als de routers netjes nieuwe updates krijgen en de eigenaren die updates netjes installeren zijn ze ook niet meer vulnerable.

05-04-2019, 11:48 door Bitwiper - Bijgewerkt: 05-04-2019, 11:48

Door Anoniem: Daarmee is en blijft DNS voorlopig nog een systeem dat niet te vertrouwen is...

Precies. En daarom zijn https, HSTS en betrouwbare certificaten zo belangrijk (en daarmee bedoel ik niet de certificaten waarvan de betrouwbaarheid afhankelijk is van DNS).

Maar als je (DSL) router pwned is, is DNS niet je enige zorg; ook al verkrijg je de juiste IP-adressen als antwoord op DNS requests, dan nog kunnen de aanvallers de destination IP-adressen in uitgaande pakketjes wijzigen en zo alsnog verbindingen kapen. Ook op dit punt biedt https bescherming.

06-04-2019, 16:48 door Anoniem

Door Anoniem: Nieuws van een tijdje geleden, is nu geweaponised door criminelen. D-Link DSL-2640B even nagekeken: er zijn 3 revisies en hieronder de nieuwste firmware:

2.06 Huidige firmware 22-1-2013
EU_5.00 Huidige firmware 3-4-2010
EU_4.01 Huidige firmware 2-3-2009

Kortom bullshit advies om te updaten. Bye bye D-link.

Die versies zijn al oud, maar je kan niet zondermeer zeggen dat het alleen daarom bullshit zou zijn.
Het advies "houd firmware up-to-date" wordt aangeraden in het kader van de logica dat na het bekend worden van
een kwetsbaarheid vaak een firmware-update volgt die de kwetsbaarheid verhelpt.
(ook al heb ik hier eerlijk gezegd bij D-link niet direct heel veel vertrouwen in ;) ...)

Wat wel absoluut bullshit is, is dat D-link zijn firmwares aanbiedt via het unencrypted en onveilige ftp-protocol ....!
(uiteindelijk zijn wij het dus samen wel weer met elkaar eens)

06-04-2019, 22:40 door Anoniem

Het is allemaal onzin, iedereen die toegang heeft tot een deel van het internet verkeer kan afluisteren of het moet versleuteld verkeer zijn. DNS verkeer is standaard echter niet versleuteld, DNSSEC veranderd daar niks aan. Wat je wil is DNS over HTTPS of TLS. Dan wordt het al veel lastiger om er mee te knoeien.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer