Nicht authentifizierte DNS-Sicherheitsanfälligkeit bezüglich DNS-Änderungen (DNSChanger): DSL-2740R und nicht-europäische DSL-Router
08 April, 2019
Überblick
Im Folgenden finden Sie eine Aktualisierung zu Informationen, die D-Link ursprünglich im Dezember 2016 kommuniziert hat.
Die Aktualisierung basiert auf einer Veröffentlichung bezüglich der DNSChanger Malware vom 4. April 2019.
Im Dezember 2016 veröffentlichte Tom's Guide in einem Artikel einen Bericht, in dem es um „eine neue Malvertising-Kampagne geht, bei der mindestens 166 Modelle verschiedener Hersteller angegriffen werden.“
Es gibt Hinweise darauf, dass die Malware 166 verschiedene Router-Modelle anvisiert, von denen jedoch nur eine Handvoll Geräte identifiziert werden kann. Für den im ursprünglichen Bericht identifizierten D-Link DSL-2740R steht ein Patch zur Verfügung.
Eine neue Publikation eines Drittanbieters nennt zusätzlich folgende Router: D-Link DSL-2640B, D-Link DSL-2780B und D-Link DSL-526B.
Die Modelle werden in Europa nicht mit den betroffenen Firmware-Versionen verkauft.
Nachweise
Dezember 2016: http://www.tomsguide.com/us/malvertising-router-attack,news-24034.html
Weitere Online-Veröffentlichungen von 2016:
- https://www.tomsguide.com/us/dlink-routers-hack-attack,news-29816.html
- https://www.bleepingcomputer.com/news/security/malvertising-campaign-infects-your-router-instead-of-your-browser/
- https://www.onthewire.io/new-malvertising-campaign-exploits-home-routers-changes-dns-entries/
- https://www.proofpoint.com/us/threat-insight/post/home-routers-under-attack-malvertising-windows-android-devices
04. April 2019: https://badpackets.net/ongoing-dns-hijacking-campaign-targeting-consumer-routers/
badpackets.net/author/badpackets/
Informationen aus der Exploit Database:
DSL-2640B / Hardware Rev. T1 / Firmware GE_1.07 / Non-US : Link
DSL-2740R / Hardware Rev. Ax / Firmware EU_1.15 / Non-US : Link
DSL-2780B / Hardware Rev. Ax / Firmware DLINK_1.01.14 / Non-US : Link
DSL-526B / Hardware Rev. Bx / Firmware AU_2.01 / Non-US : Link
Weitere Online-Veröffentlichungen von 2019:
https://www.zdnet.com/article/hacker-group-has-been-hijacking-dns-traffic-on-d-link-routers-for-three-months/
https://arstechnica.com/information-technology/2019/04/ongoing-dns-hijackings-target-unpatched-consumer-routers/
https://threatpost.com/hackers-abuse-google-cloud-platform-to-attack-d-link-routers/143492/
https://www.forbes.com/sites/kateoflahertyuk/2019/04/05/hackers-are-targeting-d-link-home-routers-heres-how-to-secure-yours/#10e7e41b2cb0
Betroffene Produkte und Patches:
Nachdem der in Europa erhältliche DSL-2740R 2015 als anfällig identifiziert wurde, stellte D-Link einen entsprechenden Patch bereit.
Bei den kürzlich genannten Produktmodellen wird eine Firmware eingesetzt, die in Europa nicht erhältlich ist. Einige der Modelle werden zudem von Internet Providern eingesetzt mit zertifizierten und spezifischen Konfigurationen.
Wenn Sie Ihr Gerät von Ihrem Internet Provider erhalten haben, kontaktieren Sie diesen bitte direkt bezüglich Patches.
Für spezifische Patches empfehlen wir, dass Sie den Kundenservice in Ihrer Region kontaktieren.
Der Einsatz von Firmware, die nicht für Ihr Land bestimmt ist, erfolgt auf Ihr eigenes Risiko und kann das Gerät außer Betrieb setzen.
Modell | Hardware Revision | Region | Betroffene Firmware | Status / Patch |
Letztes Update |
DSL-526B | Alle Revisionen B | Australien | AU v2.01 und älter (niedriger) | Wird geprüft |
05/04/2019 |
DSL-2640B | Alle Revisionen T | Malaysia | GE v1.07 und älter (niedriger) | Wird geprüft |
05/04/2019 |
DSL-2740R | Alle Revisionen A | Europa | EU v1.15 und älter (niedriger) | Patch 1.17 |
01/2015 |
DSL-2780B | Alle Revisionen A | AU/NZ | v1.01.14 und älter (niedriger) | Wird geprüft | 05/04/2019 |
D-Link Router und Gateways, die keinen Support mehr erhalten oder derzeit geprüft werden:
1. Bitte kontaktieren Sie Ihren DSL Service Provider oder den lokalen D-Link Kundenservice für aktuelle Informationen bzw. bezüglich Patches.
2. Setzen Sie das Gerät über die Weboberfläche unter http://192.168.0.1 auf die Standardeinstellungen zurück, vergeben Sie ein einzigartiges Passwort und schließen Sie die Einrichtung für Ihren DSL Provider ab.
3. Ändern Sie Einstellungen am Gerät über die Weboberfläche unter http://192.168.0.1 und setzen Sie die Domain Name Server (DNS) Werte manuell (Erklärungen finden Sie in den Handbüchern der Geräte hier):
- Google DNS : 8.8.8.8 or 8.8.4.4
- Cloudflare DNS: 1.1.1.1
Sicherheits-Patches für Ihre D-Link Geräte
Unsere Firmware Updates addressieren Schwachstellen betroffener D-Link Geräte. Wir empfehlen Nutzern dringend, entsprechende Updates zu installieren. Beachten Sie dabei, dass es sich um eine Version für das Land, in dem Sie sich befinden, handelt sowie für welche Hardware Revision die Firmware gilt (Hinweise zur Hardware Revision im Folgenden).
Es gibt verschiedenen Versionen (Hardware Revisionen) unserer Produkte. Prüfen Sie stets, um welche Hardware Revision es sich bei Ihrem Gerät handelt, bevor Sie ein Firmware Update herunterladen. Sie finden die Information dazu in der Regel auf dem Aufkleber auf der Produktunterseite neben der Seriennummer. Außerdem können Sie die Information auf der Weboberfläche des Gerätes einsehen.