Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 5/3/2014
Angribere har ændret på konfigurationen af over 300.000 routere, så de kommunikerer med angriberens DNS-server. Ofrene menes at være routere til privatbrug eller i mindre virksomheder.Sikkerhedsorganisationen Team Cymru har opdaget angrebet, hvor routeren sættes til at bruge to IP-adresser som DNS-server. Det kan bagmændene udnytte til at føre brugerne af routerne hen til forfalskede websteder.
I løbet af en uge observerede Team Cymru DNS-forespørgsler fra over 300.000 routere. De så dog ikke ud til at blive ledt på vildspor, forespørgslerne gav samme svar, som reglementerede DSN-servere ville give.
Bagmændene menes at have brugt forskellige metoder til at få adgang til at ændre DNS-indstillingerne. Nogle af de berørte routere har cross-site request forgery-sårbarheder (CSRF), andre har en sårbarhed, der lader angribere downloade alle konfigurationsdetaljer, herunder passwords.
De angrebne routere findes primært i Vietnam. Derefter kommer Indien, Italien og Thailand. Danmark er ikke blandt de 17 mest ramte lande.
I de berørte routere er DNS-serveres IP-adresser sat til at være 5.45.75.11 og 5.45.76.36.
Anbefaling
Beskyt konfigurationen af routere ved at ændre password og anvende adresser, der ikke er sat som standard.