Nicht authentifizierte DNS‑Sicherheitsanfälligkeit bezüglich DNS‑Änderungen (DNSChanger): DSL‑2740R und nicht‑europäische DSL‑Router

08 April, 2019

Überblick

 

Im Folgenden finden Sie eine Aktualisierung zu Informationen, die D-Link ursprünglich im Dezember 2016 kommuniziert hat.
Die Aktualisierung basiert auf einer Veröffentlichung bezüglich der DNSChanger Malware vom 4. April 2019.

 

Im Dezember 2016 veröffentlichte Tom's Guide in einem Artikel einen Bericht, in dem es um „eine neue Malvertising-Kampagne geht, bei der mindestens 166 Modelle verschiedener Hersteller angegriffen werden.“

Es gibt Hinweise darauf, dass die Malware 166 verschiedene Router-Modelle anvisiert, von denen jedoch nur eine Handvoll Geräte identifiziert werden kann. Für den im ursprünglichen Bericht identifizierten D-Link DSL-2740R steht ein Patch zur Verfügung.

Eine neue Publikation eines Drittanbieters nennt zusätzlich folgende Router: D-Link DSL-2640B, D-Link DSL-2780B und D-Link DSL-526B.
Die Modelle werden in  Europa nicht mit den betroffenen Firmware-Versionen verkauft.

 

Nachweise 

 

Dezember 2016: http://www.tomsguide.com/us/malvertising-router-attack,news-24034.html

 

Weitere Online-Veröffentlichungen von 2016:

 

04. April 2019: https://badpackets.net/ongoing-dns-hijacking-campaign-targeting-consumer-routers/

badpackets.net/author/badpackets/

 

Informationen aus der Exploit Database:

DSL-2640B / Hardware Rev. T1 / Firmware GE_1.07 / Non-US : Link

DSL-2740R / Hardware Rev. Ax  / Firmware EU_1.15 / Non-US : Link

DSL-2780B / Hardware Rev. Ax / Firmware DLINK_1.01.14 / Non-US : Link

DSL-526B / Hardware Rev. Bx / Firmware AU_2.01 / Non-US : Link

 

Weitere Online-Veröffentlichungen von 2019:

https://www.zdnet.com/article/hacker-group-has-been-hijacking-dns-traffic-on-d-link-routers-for-three-months/
https://arstechnica.com/information-technology/2019/04/ongoing-dns-hijackings-target-unpatched-consumer-routers/
https://threatpost.com/hackers-abuse-google-cloud-platform-to-attack-d-link-routers/143492/
https://www.forbes.com/sites/kateoflahertyuk/2019/04/05/hackers-are-targeting-d-link-home-routers-heres-how-to-secure-yours/#10e7e41b2cb0

 

 

Betroffene Produkte und Patches:

 

Nachdem der in Europa erhältliche DSL-2740R 2015 als anfällig identifiziert wurde, stellte D-Link einen entsprechenden Patch bereit.

Bei den kürzlich genannten Produktmodellen wird eine Firmware eingesetzt, die in Europa nicht erhältlich ist. Einige der Modelle werden zudem von Internet Providern eingesetzt mit zertifizierten und spezifischen Konfigurationen.

 

Wenn Sie Ihr Gerät von Ihrem Internet Provider erhalten haben, kontaktieren Sie diesen bitte direkt bezüglich Patches.
Für spezifische Patches empfehlen wir, dass Sie den Kundenservice in Ihrer Region kontaktieren.
Der Einsatz von Firmware, die nicht für Ihr Land bestimmt ist, erfolgt auf Ihr eigenes Risiko und kann das Gerät außer Betrieb setzen.

  

Modell Hardware Revision Region Betroffene Firmware Status / Patch
Letztes Update
DSL-526B Alle Revisionen B Australien AU v2.01 und älter (niedriger) Wird geprüft

05/04/2019

DSL-2640B Alle Revisionen T Malaysia GE v1.07 und älter (niedriger) Wird geprüft

05/04/2019

DSL-2740R Alle Revisionen A Europa EU v1.15 und älter (niedriger) Patch 1.17

01/2015

DSL-2780B Alle Revisionen A AU/NZ v1.01.14 und älter (niedriger) Wird geprüft 05/04/2019

 

 

D-Link Router und Gateways, die keinen Support mehr erhalten oder derzeit geprüft werden:

  

     1. Bitte kontaktieren Sie Ihren DSL Service Provider oder den lokalen D-Link Kundenservice für aktuelle Informationen bzw. bezüglich Patches.

     2. Setzen Sie das Gerät über die Weboberfläche unter http://192.168.0.1 auf die Standardeinstellungen zurück, vergeben Sie ein einzigartiges Passwort und schließen Sie die Einrichtung für Ihren DSL Provider ab.

     3. Ändern Sie Einstellungen am Gerät über die Weboberfläche unter http://192.168.0.1 und setzen Sie die Domain Name Server (DNS) Werte manuell (Erklärungen finden Sie in den Handbüchern der Geräte hier):

  

          - Google DNS : 8.8.8.8 or 8.8.4.4

          - Cloudflare DNS: 1.1.1.1

 

 

Sicherheits-Patches für Ihre D-Link Geräte

 

Unsere Firmware Updates addressieren Schwachstellen betroffener D-Link Geräte. Wir empfehlen Nutzern dringend, entsprechende Updates zu installieren. Beachten Sie dabei, dass es sich um eine Version für das Land, in dem Sie sich befinden, handelt sowie für welche Hardware Revision die Firmware gilt (Hinweise zur Hardware Revision im Folgenden).

 

Es gibt verschiedenen Versionen (Hardware Revisionen) unserer Produkte. Prüfen Sie stets, um welche Hardware Revision es sich bei Ihrem Gerät handelt, bevor Sie ein Firmware Update herunterladen. Sie finden die Information dazu in der Regel auf dem Aufkleber auf der Produktunterseite neben der Seriennummer. Außerdem können Sie die Information auf der Weboberfläche des Gerätes einsehen.