image

Malware onderschept ftp- en mailgegevens op besmette DrayTek-routers

maandag 6 maart 2023, 16:36 door Redactie, 4 reacties

Onderzoekers waarschuwen voor malware die routers van fabrikant DrayTek infecteert en vervolgens gegevens voor e-mail en ftp onderschept. Dat laat securitybedrijf Lumen weten, dat onder andere in Nederland besmette routers heeft waargenomen. De aanvalscampagne die de onderzoekers ontdekten richt zich op de DrayTek Vigor 2960 en 3900. Het gaat om vpn-routers die end-of-life zijn en zodoende niet meer met beveiligingsupdates worden ondersteund.

Hoe de aanvallers de DrayTek-routers weten te compromitteren is vooralsnog onbekend. Zodra dit het geval is installeren de aanvallers een remote access trojan en een variant van tcpdump voor het onderscheppen van verkeer dat langs de router gaat. Daarbij wordt specifiek verkeerd over poort 21 (ftp), poort 25 (smtp), poort 21 (pop3) en poort 143 (imap). De onderschepte data wordt vervolgens naar een server van de aanvallers geüpload.

In totaal detecteerde Lumen honderd besmette routers. Dat zou twee procent van het totaal aantal DrayTek 2960 en 3900 routers zijn dat online is. De meeste besmettingen werden in de Verenigde Staten, Verenigd Koninkrijk, Nederland en Polen aangetroffen. Organisaties worden aangeraden om de end-of-life routers te vervangen door een model dat nog wel wordt ondersteund.

Reacties (4)
06-03-2023, 16:43 door Anoniem
Wie maakt er dan nog gebruik van die protocollen? Ok FTP wellicht wat websitebeheerders die in de vorige eeuw zijn blijven steken, maar mail credentials over onbeveiligde verbindingen dat werkt toch al jaren niet meer zonder grote rode kruizen in de meeste software?
06-03-2023, 17:31 door Anoniem
Tijd voor hostingproviders om de unsecure poort 25 smtp en pop3 (da's toch echt 110, niet 21) snel tot het einde te laten behoren. Hoe zouden we dat als Nederland zijnde nou voor elkaar kunnen krijgen, hebben we een of ander hoster-keurmerk met eisen?
06-03-2023, 19:47 door Anoniem
De routers zijn EOL maar krijgen nog steeds updates. De planning was dat deze 2960 en 3900 nog zeker 3 jaar security updates krijgen. DrayTek is bezig met een fix. Helaas is er een POC gepubliceerd voor dat DrayTek de boel heeft kunnen onderzoeken. Bron: DrayTek.nl/Xpertdata
07-03-2023, 09:58 door Anoniem
Het lijkt erop dat Draytek al firmware updates heeft uitgegeven om dit gat te dichten, ook voor modellen die al flink lang EOL zijn: https://draytek.co.uk/support/security-advisories/kb-advisory-cve-2023-23313
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.