一组攻击者设法妥协300000家庭和小型办公无线路由器,改变其设置使用流氓DNS服务器,根据互联网安全研究组织团队库姆。
今年一月,队伍库姆的研究人员确定了两个TP-Link无线路由器其设置被更改为DNS(域名系统)请求发送到两个特定的IP地址:5.45.75.11和5.45.76.36。在这些IP地址运行流氓DNS服务器的分析表明消费类网络设备的质量规模的妥协。
在一个星期内,超过30万个独立IP地址发送DNS请求到两台服务器,团队库姆研究者说,一份报告周一发布的。他们说,其中许多IP地址对应一系列路由器,包括D-Link、Micronet、Tenda、TP-Link和其他制造商的型号,这些路由器的DNS设置被恶意更改。
研究人员认为,这些设备均使用利用一些已知漏洞的不同的技术损害。许多受影响的设备有自己的管理界面从Internet访问,使他们容易受到使用默认凭据,如果它们的主人并没有改变他们强力密码猜测攻击或未经授权的访问,研究人员说。
有相当多的设备似乎也容易受到安全漏洞的报道,一月的ZyNOS,由合勤科技创造了一个路由器的固件也用于对路由器型号从其他制造商。该漏洞允许攻击者远程下载包含脆弱路由器的配置文件不进行认证,解析它以提取路由器的管理界面的密码。
根据Cymru团队的研究人员,攻击者也可能使用跨站请求伪造(CSRF)来利用TP-Link路由器的漏洞,这些漏洞在去年就已经被发现了。
CSRF攻击涉及将恶意代码的网站,以力访问者的浏览器上发送特制请求第三方URL。如果用户进行身份验证的第三方网站,该网站没有CSRF保护,恶意请求可以滥用用户在该网站上获得执行未经授权的操作。这种类型的攻击也被称为会话控制。
攻击者可以利用CSRF技术来攻击路由器时,他们的管理界面是通过其拥有者的浏览器请求代理,并利用自己的身份验证的会话只能从局域网访问。
团队库姆研究者指出,去年在各TP-Link的报道路由器型号两个漏洞已知会已通过CSRF攻击的目标。一个允许攻击者将管理员密码替换为空白密码和其他允许更改路由器的DNS设置,即使恶意请求包含虚假凭据。
研究人员说,针对TP-Link TD-8840T路由器成功测试了第一个漏洞,该路由器运行的固件版本为3.0.0 build 120531,是在攻击行动中发现的首批受害者设备之一。据报道,第二个漏洞影响到运行不同固件版本的TP-Link WR1043ND、TL-MR3020和TL-WDR3600,但其他型号也可能受到影响。
TP-Link的发布了一些受影响的机型的固件补丁,但用户很少更新自己的家庭路由器和其他网络设备。
由Team库姆确定的质量妥协具有一些相似于本月初报道的另一次攻击运动,改变了波兰的家用路由器的DNS设置拦截网上银行会话。那次攻击也被认为利用了ZynOS的弱点,但Cymru团队认为它与他们发现的更大规模的攻击活动是分开的。
在这次针对波兰的攻击中,黑客使用了不同的流氓DNS服务器,将目标锁定在一个更集中的地理区域内的一小部分用户,并专门专注于拦截与波兰银行网站的连接。
“与此相反,攻击者设置设备的IP地址5.45.75.11和5.45.75.36已经受损设备的一个非常大的游泳池,和受控设备大块特定互联网服务供应商,在SOHO的同质性[小型办公室/家庭办公室]路由器中,”球队库姆研究者称型号,配置和固件版本可能允许攻击轻松扩展。
Cymru小组发现,在这次攻击行动中被破坏的路由器大部分位于越南(约16万个IP地址),但总体而言,这次攻击活动分布在全球。除越南外,受害者人数最多的10个国家是印度、意大利、泰国、哥伦比亚、波斯尼亚和黑塞哥维那、土耳其、乌克兰、塞尔维亚和厄瓜多尔。美国排名第11。
“这种攻击的规模表明一个更传统的犯罪意图,比如搜索结果重定向,更换广告,或安装驱动的下载,所有的活动,需要大规模的盈利来完成,”研究人员说。“在波兰看到的更多的人工密集的银行账户转账就难以开展反对这么大的和地理,不同受害群体。”
研究人员还发现,攻击者使用的两台DNS服务器对请求的响应断断续续,这意味着受害者可能遇到了互联网连接问题。DNS是将域名转换为数字IP地址的关键服务。没有这个功能,计算机将不能访问任何网站使用它的域名。
通过控制DNS解析,当用户试图访问合法网站时,攻击者可以透明地将用户重定向到他们控制的服务器上,这使得从流量窥探到劫持搜索查询、向流量注入漏洞、广告和其他流氓内容等各种攻击成为可能。
这是最近发现的针对家用路由器的一系列大规模攻击中最新的一次。除了波兰的网上银行攻击,安全研究人员也进行了调查发现感染Linksys路由器的蠕虫。最近华硕路由器的漏洞也是如此左数千USB连接的硬盘驱动器的暴露从互联网远程访问。
“我们的研究表明,对路由器的威胁将继续增加,因为恶意行为者认识到多少信息可以通过攻击这些设备来获得,”克雷格年轻,Tripwire的一位安全研究人员说,通过电子邮件。
据Young称,Tripwire的研究团队发现,亚马逊网站上最畅销的25款SOHO无线路由器中,80%存在安全漏洞。
“这些脆弱的车型,34%的人公开发布的漏洞,使得它相对简单的黑客手艺针对每一个漏洞的系统,他们可以找到既具有高度针对性的攻击或普通攻击,”研究人员说。
Young和Cymru团队的研究人员都建议用户禁用路由器上的互联网远程管理,并保持固件的更新。如果绝对需要远程管理,则应采取步骤将远程访问限制为仅对特定IP地址的访问。其他建议包括:更改默认密码,而不是使用默认为局域网IP地址范围,注销后每次访问路由器接口,经常检查路由器的DNS设置,以确保他们没有被修改,并使用SSL(安全套接字层)来访问路由器的Web界面,如果选项是可用的。