Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

DrayTek waarschuwt dat aanvallers dns-instellingen van zijn routers wijzigen

De Taiwanese netwerkapparatuurfabrikant DrayTek heeft een waarschuwing gepubliceerd waarin het bedrijf meldt dat aanvallers de dns-instellingen van routers wijzigen. Het bedrijf zegt aan een patch te werken, waardoor het om een kwetsbaarheid lijkt te gaan.

In de vrijdag gepubliceerde waarschuwing raadt het bedrijf gebruikers aan om de dns- en dhcp-instellingen van hun routers te controleren. Als deze zijn aangepast, zegt het bedrijf dat het nodig is een configuratieback-up terug te zetten of de instellingen handmatig naar de correcte waardes aan te passen. Ook zou het verstandig zijn om het beheerderswachtwoord te wijzigen en te controleren of er een beheerder is toegevoegd. Ook het uitschakelen van beheer op afstand is een optie, indien de gebruiker deze functie niet nodig heeft. Het bedrijf zegt niet op welke manier de aanvallers de instellingen wijzigen.

Op de site abuseIPDB melden gebruikers dat de dns-instellingen naar het ip-adres 38.134.121.95 worden gewijzigd. DrayTek noemt dat adres ook. Beveiligingsexpert Kevin Beaumont maakt op Twitter melding van de aanvallen en zegt dat de aanvallers een exploit gebruiken en door de aanpassingen internetverkeer kunnen onderscheppen. Een zoekopdracht via Shodan zou wijzen op bijna 800.000 mogelijk kwetsbare routers, waarvan ongeveer 261.000 in het VK en 148.000 in Nederland. Uit Twitter-reacties is op te maken dat de aanvallers ondanks gewijzigde wachtwoorden binnenkomen en dat in veel gevallen beheer op afstand is ingeschakeld.

De waarschuwing op de DrayTek-site vermeldt dat de updates die daar uitkomen alleen voor Britse of Ierse gebruikers zijn en dat gebruikers in andere landen hun lokale of de internationale site in de gaten moeten houden. De meest recente firmware-update op de internationale site is van donderdag.

Door Sander van Voorst

Nieuwsredacteur

18-05-2018 • 15:26

71 Linkedin Google+

Submitter: RobinF

Reacties (71)

Wijzig sortering
Blijkbaar ben ik een van de weinigen op Tweakers die wel gehackt is. Mijn Vigor2120 had als DNS servers gekregen 38.134.121.95/8.8.8.8. Daarnaast was DHCP aangezet (stond uit, gebruik andere DHCP server). Doordat DHCP aan was gezet, was er ook al een computer die de rogue DNS setting gebruikte.

Bij mij stond remote management uit. Ook gebruikte ik niet het standaard admin password. Wel stonden de defaults by remote access nog aan (fout van mij), dus ik neem aan dat dit de exploit was die mij is gebruikt (VPN-SSL).

Wanneer is de router kwetsbaar?
Indien de modem/router door een gebruiker publiekelijk is opengesteld en/of wanneer de SSL/VPN server is ingeschakeld, kan de modem/router kwetsbaar zijn.


Wat ik wel een beetje eng vind, is dat blijkbaar een SSL/VPN exploit is gebruikt, maar betekent dit dan ook dan men via SSL/VPN op mijn LAN is geweest/had kunnen komen?
T-Mobile heeft zojuist een update gepost:

UPDATE 19 mei 14:30

Sommige klanten hebben de beheerpagina van het Draytek modem beschikbaar gemaakt om van buitenaf (een andere locatie) te kunnen benaderen. Zo kun je bijvoorbeeld op je werk een instelling aanpassen op je modem thuis. Bij deze klanten was het mogelijk dat iemand met kwade bedoelingen ook toegang tot het modem kan krijgen. T-Mobile heeft uit voorzorg nu bij alle klanten deze beheerpagina ontoegankelijk gemaakt van buitenaf.

Beheerpagina
Ben je niet bekend met deze pagina of instellingen, dan is er niets aan de hand geweest. Standaard heeft T-Mobile deze beheerpagina voor de Draytek op niet beschikbaar gezet. We hebben al onze klanten die toegang hadden opengezet vandaag een e-mail gestuurd naar het bij ons bekende e-mailadres. Heb je geen e-mail gehad? Wees dan gerust, dan is bovenstaande niet voor jou van toepassing.

Herstellen
Je kunt de toegang uiteraard weer openzetten. Bedenk je dan wel dat dit een risico met zich meebrengt! Anderen kunnen dan mogelijk ook jouw modem in. Dit is een tijdelijke situatie: binnenkort voeren we een nieuwe update van het modem uit waardoor de beheerpagina weer overal beschikbaar is, zonder risico's.

Firmware update
We zijn druk bezig om met de ontwikkelaar een nieuwe firmware te schrijven, zodat de beheerpagina zonder gevaar weer beschikbaar is. Via e-mail houden wij onze klanten op de hoogte van deze update.

Internet, TV en Bellen
De kwetsbaarheid van de beheerpagina en onze aanpassing hebben geen effect op jouw Internet, TV of telefonie. Deze hebben hier geen hinder van ondervonden. Je merkt helemaal niets van onze aanpassing! Je kan dus met een gerust hart op de Wifi, TV kijken of lekker bellen.


https://forum.t-mobile.nl...8/index1.html#post1453453

[Reactie gewijzigd door Royboy510 op 19 mei 2018 15:20]

Mooi bericht in Jip en Janneke taal.
Wel jammer dat ze het deel van SSL VPN weglaten en zwart op wit zeggen dat klanten "zonder risico" na de toekomstige update de web interface naar buiten open kunnen zetten.

Het openzetten van poorten/diensten naar buiten is nooit zonder risico's.
En als je DNS handmatig gewijzigd hebt in Windows of Android? Surf je dan ook via die criminele DNS, blijf je via je eigen DNS surfen of heb je dan simpelweg geen verbinding meer?

[Reactie gewijzigd door rickboy333 op 18 mei 2018 15:37]

Als je deze in windows hebt ingesteld, dan wordt dat adres gebruikt. Wat de router heeft, is een suggestie. Die van windows heeft dus meer priority, ik verwarcht iets vergelijkbaars in android.
Inderdaad! op android zal het apparaat eerst kijken naar een "statisch" ingesteld DNS resolver voordat die de DNS van de DHCP zal gebruiken
Lokaal ingestelde DNS servers gaan op alle Platformen voor zover ik weet.
Nee, zo werkt DNS niet. Je apparaat kiest de DNS die jij instelt als server om resultaten op te zoeken, het werkt niet met een gateway oid.
Bij DHCP is zonder handmatige interactie de DNS server gewoon ingesteld door de DHCP server. En is dat de Draytek, wat out of the box het geval is, dan ben je gewoon het bokkie.
Klopt, maar hij zegt duidelijk:

En als je DNS handmatig gewijzigd hebt in Windows of Android?

Dus dat stukje over DHCP, daar zijn we al voorbij.
Vaak wordt op jouw LAN via DHCP de DNS ingesteld op het router adres. En die gebruikt de DNS die hij - nu foutief - kent. Kortom, je hele LAN zal dus praktisch de DNS gebruiken die in je router staat. Gebruik je vaste instellingen, dan heb je er geen last van uiteraard, maar dat zal de minderheid zijn verwacht ik.
Heb hier ook een T-Mobile 750 mbit glasvezel aansluiting met de DrayTek Vigor2132FVn met firmware 3.7.9.1 (Build time Apr 21 2017 17:29:16). Van buitenaf zijn er geen TCP poorten, en zo snel ik kan zien geen UDP poorten benaderbaar, anders dan de poorten die ik zelf heb opengezet. De aanval klinkt dus als een die misbruikt maakt van een CSRF [1] kwetsbaarheid (tenzij het iets echt geavanceerds waarbij er misbruik gemaakt wordt van een kwetsbaarheid in de TCP/NAT/firewall stack van de router, maar dat is minder aannemelijk).

In het geval van CSRF wordt misbruik gemaakt van het feit dat allerlei informatie voorspelbaar is, in dit geval het IP/management webserver poort/login van de router, en de HTTP request die nodig is om instellingen te wijzigen.

Aangenomen dat dit een CSRF kwetsbaarheid is kunnen de volgende variabelen minder voorspelbaar gemaakt worden:
  • Administrator wachtwoord aanpassen;
  • Poort van management interface veranderen - was in mijn geval al nodig omdat ik een webserver wilde draaien en de poort (blijkbaar) bezet was door de management interface;
  • IP adres van de router - in mijn geval gebruik ik altijd de range 192.168.254.0/24 zodat een VPN meestal geen conflicten geeft met het subnet waar ik als client in zit.
[1] https://en.wikipedia.org/wiki/Cross-site_request_forgery
Heb zelf ook T-mobile Thuis glas, maar hoe heb je 750 mbit voor elkaar? Hun max is toch 500/500?

Edit: Nevermind; gevonden.

[Reactie gewijzigd door slijkie op 18 mei 2018 21:19]

Er zijn al patches beschikbaar voor bepaalde modellen.

https://imgur.com/a/HHTEWHY

De andere modellen worden spoedig gepatched.


Wel wordt geadviseerd alleen remote management te gebruiken i.c.m. een acces list

[Reactie gewijzigd door leonbra op 18 mei 2018 19:13]

Vigor 2132F hier, van Tmobile Fiber.

Ik heb net even ingelogd en mijn DNS settings op Lan zijn zoals ik ze heb ingesteld, de WAN poort kan ik niet beheren want dichtgezet, maar deze hebben dns servers die beginnen met 37.x.x.x en niet 38.x.x.x. zoals genoemd in het artikel.

Tja, wat is nu wijsheid? Ik neig naar Tmobile bellen maar de ervaring leert dat ze daar echt niets weten op de helpdesk, in tegenstelling tot onsbrabantnet waar ik (noodgedwongen) moest opzeggen.

Ik houd het iig goed in de gaten komende tijd.
Voor nu zou ik op zoveel mogelijk devices een statisch DNS server instellen zodat deze in ieder geval niet kwetsbaar via een mogelijk gecomprimeerde DNS server gaan.

De makkelijkste zijn die van Google met 8.8.4.4 en 8.8.8.8 maar er zijn veel andere betrouwbare DNS servers te vinden.
1.1.1.1 of 1.0.0.1 van CloudFlare, zeer snel.

[Reactie gewijzigd door ariekanari op 18 mei 2018 15:58]

In mijn ervaring waren ze in eerste instantie snel, maar intussen (voor mij) vaak trager dan google. Waarschijnlijk doordat er veel mensen gebruik van zijn gaan maken ofzo.
Toch grappig aangezien bij ons de term "the whole world uses Google DNS" vaak hoor had ik juist verwacht dat het andersom zou zijn
Ja, maar google heeft denk ik omdat het al zo lang gebruikt word, de infrastructuur er achter wat beter kunnen optimaliseren. Die dienst van CloudFlare heeft zo'n enorme influx van gebruikers gehad de laatste maand dat ze daar waarschijnlijk even aan moeten werken.
Google heeft waarschijnlijk juist veel gebruikers verloren, en zal daarom misschien weer wat vlotter zijn nu.

Ik heb geen inzicht in hoe de belasting van hun diensten is, maar aangezien de CloudFlare oplossing bij mij in eerste instantie sneller was, en nu juist trager is en ik weer over ben naar google vermoed ik dat het zoiets zal zijn..
In plaats van Google, mag ik je aanraden:
1.1.1.1, van CloudFlare, die wat meer privacy belooft dan Google.
of
9.9.9.9, van QuadNine, initatief van o.a. IBM, die malware protection biedt. (Ze filteren domeinen die malware serveren uit).

Zelf researchen uiteraard, maar ik zou beide aanraden voordat ik Google adviseer.

[Reactie gewijzigd door Keypunchie op 18 mei 2018 16:05]

Mijn persoonlijke gebruik van Google is puur vanwege de snelle updates van hun DNS verwijzingen. Ik verander nogal eens de DNS settings van mijn domein. Bij Google zijn deze regelmatig binnen 10 min geüpdatet, bij overige (zoals CloudFlare) duurt dit meestal meer dan een uur.
Als je van plan bent om regelmatig DNS records aan te passen moet je je misschien eens inlezen in de verschillende instellingen van je zone. Hoe lang een DNS server data in de cache mag bewaren is namelijk iets wat je zelf kiest als domeinbeheerder
Ik theorie werkt dat zeker zo maar ik de praktijk is er vrijwel altijd een minimum TTL die wordt opgelegd door je hoster.

Snellere DNS servers (Zoals ik zijn voorbeeld Google) zijn dan erg handig.
Alleen is Google DNS dan weer niet consistent met de resultaten. Als je een record instelt, checkt met 8.8.8.8, dan de record update en vervolgens een aantal keer achter elkaar opnieuw bij 8.8.8.8 opvraagt, dan krijg je willekeurig de nieuwe of de oude waarde terug. Zelfs als de TTL (bijv. 60 sec) al ruimschoots is verstreken.
Dat ligt aan allerlei caching instellingen bij Google. Na 4 uur krijg je geheid consistente resultaten. DNS is niet ontworpen om snel even dingen in te wijzigen. Webadressen zouden ook niet (vaak) van IP moeten veranderen.
Dat is meer omdat MS (en anderen) geoDNS gebruiken ipv anycast.
Alle andere DNS servers, zelfs die van de PTT, doen het goed. Waarom Google als enige niet?
Ik heb inderdaad (meteen na installatie) voor de LAN kant naar de google ip adressen gezet. voor de wan verbinding heb ik er echter geen invloed op, want, dichtgezet.
Nu ik jouw tekst en die van anderen nogmaals lees denk ik dat je al veilig zit. Als al jouw systemen in het LAN al andere DNS servers krijgen voorgeschoteld (dus niet de router zijn IP of de IP's die de router krijgt van de provider) dan is het enkel in de gaten houden of de LAN DNS settings niet veranderen door een hack actie van buitenaf.
1.1.1.1 is ook niet al te lastig.
Lastige is dat we volgens mij ook niet zelf de firmware kunnen updaten, niet wat ik zo 1 2 3 kon vinden.. dus dat maakt het ook niet makkelijker.. (hier ook Tmobile glas gebruiker met draytek).
Management GUI vanaf internet had ik al niet open staan dus lastiger om er op in te breken.

Dit meld Draytek er zelf over:
We have become aware of security reports with DrayTek routers related to the security of web administration when managing DrayTek routers.
In some circumstances, it may be possible for an attacker to intercept or create an administration session and change settings on your router. The reports appear to show that DNS settings are being altered. Specific improvements have been identified as necessary to combat this and we are in the process of producing and issuing new firmware. You should install that as soon as possible.
Ben wel benieuwd naar de exploit, kunnen tmobile gebruikers eindelijk bridge mode aanzetten :p
37.143.84.228/229 is T-Mobile's eigen DNS server
Even een lookup gedaan, en voor de bij mij ingestelde server melden ze: "37.143.84.228 is a public IP address that belongs to ASN 50266 which is under the control of "T-Mobile Thuis BV"." Dus dat zal wel goed zitten.
Heb zelfde als jou (modem). Ook T-mobile Thuis.

LAN -> General setup -> LAN1 details

Staan de door mij ingevulde DNS settings er nog (1.1.1.1 & 1.0.0.1).

Draai Firmware versie: 3.7.9.1

Zie alleen nergens waar ik de Firmware kan updaten. (Ben ingelogt met ‘user’, admin krijg ik niet van T-mobile)
Ik (zelfde provider en modem) zie ook bij de 'Physical Connection' de 37.x.x.x range DNS servers, die resolven naar de DNS servers van glasoperator.nl. Daar lijkt me dus niets mis mee.

Let wel: dat zijn niet de DNS settings waarnaar Draytek hier verwijst (te weten: de servers die via DHCP worden meegegeven). Die specifieke settings kun je bij T-Mobitel icm de Draytek Vigor 2132F vinden door in je LAN/General Setup pagina te klikken op 'details page' van je lokale LAN.
Dat vermoeden had ik ook al, vandaar dta ik die na installatie meteen had aangepast. Wat dat betreft zit ik dus goed. Dank voor de bevestiging!
Ben heel wat Drayteks tegen gekomen in het MKB, 90% had de admin interface op de WAN aanstaan...
dat hebben ze dan toch echt ZELF gedaan want standaard staat het uit. Ik snap ook niet waarom je dat aan zou zetten.. gebruik de ingebouwde VPN server en je kunt ook beheren.

[Reactie gewijzigd door Terrestrial op 18 mei 2018 16:11]

Omdat er voor Drayteks geen goed beheerplatform is, zoals Meraki of OpenMesh dat heeft.
Is de web interface niet goed genoeg dan, of wil je iets waar je 100 modems/routers centraal kunt beheren zoals wel kan bij ubiquity. Maar voor de meeste doeleinden is dat een volledig overbodige feature.
De Webinterface is meer dan prima van Draytek, ACS is een TR-69 tool om idd centraal beheer voor honderden of duizenden devices te doen... (overigens zou draytek er goed aan doen die eens fors goedkoper te maken)
Er is een beheerstool vanuit draytek genaamd " Vigor ACS" daarin kan je alles beheren, ook drag and drop VPN verbindingen etc.
Op de modems van Drytek is dat ook mijn ervaring idd.
Ook het uitschakelen van beheer op afstand is een optie, indien de gebruiker deze functie niet nodig heeft
Dit staat dus standaard aan?

Waarom?
WAN management on by default volgens deze twitter berichten. Ook erg veel routers in Nederland die bereikbaar zijn blijkbaar: https://twitter.com/GossiTheDog/status/997437742295416832
Ik heb diverse draytek routers ingesteld bij mkb en nog nooit gezien dat management via WAN standaard aanstaat, dus hoe kom je hier nu weer bij. ? Pure onzin als je het mij vraagt. Bovendien moet er dan een poort open staan.
Drytek maakt ook heel veel modems en daar staat het helaas vaak uit de doos aan.

Poort hoeft verder niet. Is gewoon 80 (of 443 als je dat aanzet) verkeer. HTTP://<IP verbinding>:80 werkt daardoor op veel Drytek modems gewoon.
Wow, ik dacht dat we deze onzin 10 jaar geleden wel een beetje achter ons gelaten hadden.

Beheer op afstand standaard toelaten is ook vragen om problemen.
Geen Draytek hier, maar ik vind het wel netjes dat ze het zelf naar buiten brengen en dat het niet via via bij de gebruikers belandt. En dat ze dit al melden voordat de patch er is zodat je tijdelijk de geboden workaround toe kunt passen ipv dat je al die tijd nog in potentieel onveilige situatie bevindt.
Ja. Eigenlijk vind ik dit helemaal niet kunnen maarja, daar doe je niets aan. Verder. Vanochtend kwam ik al enkele topics op Reddit tegen (die ik aan Tweakers gemeld heb). En verschillende posters op Reddit hadden DrayTek al op de hoogte gesteld.
Uiteraard zou het sowieso mooier zijn als dergelijke issues zich niet voordoen. Ik mag toch aannemen dat dat niet in iedere post naar boven hoeft te komen.

Maar door het bovenstaande artikel kreeg ik wel de indruk dat ze het al dan niet na meldingen van gebruikers snel opgepakt hebben door het bekent te maken en aan een oplossing zijn gaan werken.

Er zijn ook bedrijven die eerst in een soort van ontkennningsmode springen, vandaar dat ik de stappen die Draytek nu neemt wel kan waarderen.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True