Ruim 47.000 routers van fabrikant DrayTek met een Nederlands ip-adres zijn vanaf het internet toegankelijk via HTTP of SSH, zo stelt securitybedrijf Censys op basis van een scan. Ook vijfhonderd Zyxel-routers met een Nederlands ip-adres zijn op deze manier vanaf het internet te benaderen. Wereldwijd werden 510.000 "soho-routers" met een publiek toegankelijke HTTP-managementpoort of SSH-service aangetroffen.
Aanleiding voor het onderzoek was berichtgeving van Microsoft en de Amerikaanse, Australische, Britse, Canadese en Nieuw-Zeelandse autoriteiten over een groep aanvallers die het op Amerikaanse organisaties in de vitale infrastructuur heeft voorzien. De aanvallers weten volgens Microsoft op een nog onbekende manier via Fortinet FortiGuard-apparaten toegang tot de netwerken van hun slachtoffers te krijgen.
De groep maakt daarnaast gebruik van gecompromitteerde routers en andere "SOHO network edge devices" waarvan de beheerdersinterface via HTTP of SSH vanaf internet toegankelijk is om het eigen verkeer te proxyen. Het gaat om apparaten van fabrikanten Asus, Cisco RV, Draytek Vigor, FatPipe IPVPN/MPVPN/WARP, Fortinet Fortigate, Netgear Prosafe en Zyxel USG-apparaten. Hoe de routers worden gecompromitteerd is ook onbekend, maar het toegankelijk maken van de beheerdersinterface vergroot het aanvalsoppervlak, aldus Censys.
Het bedrijf besloot te kijken hoeveel van de genoemde apparaten vanaf internet via HTTP of SSH te bereiken zijn. Het grootste aantal apparaten betreft routers van fabrikant DrayTek. Van deze routers bevinden zich er 47.666 in Nederland. Censys roept beheerders van deze apparaten op om ervoor te zorgen dat de beheerdersinterface niet vanaf het publieke internet toegankelijk is.
Deze posting is gelocked. Reageren is niet meer mogelijk.