Επίθεση σε routers γνωστών κατασκευαστών με χρήση JavaScript εντοπίζεται από την Trend Micro

[nnn]

Η εταιρία ασφαλείας Trend Micro, εντόπισε μια επίθεση εναντίον οικιακών routers που βρίσκεται σε εξέλιξη από τον Δεκέμβριο του 2015.

Η επίθεση γίνεται μέσω κακόβουλο JavaScript κώδικα με την επίσκεψη μιας φορητής συσκευής σε μολυσμένο
mobile website και επηρεάζει routers γνωστών κατασκευαστών όπως οι D-Link, TP-LINK, και ZTE. Ο κώδικας που χρησιμοποιείται, περιέχει 1400 συνδυασμούς login και πολλά κοινά passwords και μετά την επιτυχή είσοδο στο router, αλλάζει τις ρυθμίσεις DNS του, με αυτές του επιτιθέμενου.

Security firm Trend Micro has discovered an attack on home routers that involves malicious JavaScript, a mobile website, and a mobile device such as a smartphone. This attack has been taking place since December 2015, and so far focuses on Taiwan, Japan, and China. However, the United States is fourth on the attack list, so be prepared.

According to the report, a compromised mobile website can contain JavaScript that downloads another JavaScript with DNS changing routines to the visiting mobile device. Although this JavaScript can also be downloaded on a computer, the infection depends on the user’s medium — for example, JS_JITONDNS only infects mobile devices and triggers the DNS changing routine, while the JITON infection is triggered only if the user has a ZTE modem.

Related: TP-Link will block router frequency customization in June

An examination of the code reveals that hackers are targeting routers sold by well known manufacturers such as D-Link, TP-LINK, and ZTE. The report points out that TP-LINK currently owns 28 percent of the router market while D-Link is in the top 10 with a seven percent market share. Given D-Link is based out of Taiwan and TP-LINK is in China, Trend Micro isn’t surprised by the high number of attacks in those regions.

“Cybercriminals behind this incident employ [an] evasive mechanism to go off the radar and continue the attack without arousing any suspicion from affected users. Such tactics include regularly updating the JavaScript codes to fix errors and constantly changing targeted home routers,” the report states. “The compromised websites are difficult to pinpoint due to the lack of any suspicious behavior.”

The DNS settings of a router can be overwritten thanks to the JavaScript code containing more than 1,400 login combinations, including a list of common passwords. There is also code in the JavaScript that can overwrite DNS settings by exploiting a specific vulnerability that currently exists in ZTE-based routers. Ultimately, hackers can remotely send any arbitrary command with administrator privileges to the router when it has been compromised.

Θύματα της επίθεσης, έχουν εντοπιστεί σε αρκετές χώρες μεταξύ των οποίων οι Ταιβάν, Ιαπωνία, Κίνα, Γαλλία, Καναδάς κ.α.

Πηγή : Digital Trends

[DVader]

Remote Administration σε routers από public ...ips ποτέεεεεεεεεεεεεε !

[sdikr]

Remote Administration σε routers από public ...ips ποτέεεεεεεεεεεεεε !

Αμα το διαβάσεις καλύτερα θα δείς οτι δεν μιλάει για public αλλά για private ips

[DVader]

Αμα το διαβάσεις καλύτερα θα δείς οτι δεν μιλάει για public αλλά για private ips

xa Έχεις δίκιο ....

Για αυτό το 1ο πράγμα που πρέπει να γίνετε..έτσι και αλλιώς έιναι να αλλάζετε το pass του admin !

Λοιπόν στο Speeport του ΟΤΕ το device password δεν μπορεί να καταχωρηθεί ποτέ για πει κανείς ότι μπορεί μπεί αυτόματα

Ε..Αραγε αυτό επιρρεάζει και τα firewalls της TP-Link ..?

- - - Updated - - -

Βεβαια και πάλι πρέπει να μπεις στο μολύσμένο Site...

[Nikiforos]

Αμα το adsl "router" το εχεις σε bridge mode δλδ στην ουσια ειναι πλεον μονο adsl modem τι γινεται σε αυτη την περιπτωση μπορουν να κανουν κατι?
εννοειται οτι το router που υπαρχει μετα θα εχει ενα σωστο και καλορυθμισμενο firewall!
και το pass να αλλαζεις αυτοι εχουν τα κολπα που ψαχνουν κωδικους ταχυτητα παλι θα τον βρουν, λιγο παραπανω χρονο θα τους παρει.
Επισης ως συνηθως στα router των παροχων τουλαχιστον δεν μπορεις να αλλαξεις και τον χρηστη, να βαλεις ενα αλλο ονομα τουλαχιστον να μην ειναι admin!

[xhaos]

Βεβαια και πάλι πρέπει να μπεις στο μολύσμένο Site...

το να μπεις σε μολυσμένο site δεν συμβαίνει μόνο σε περιπτώσεις που μπαίνεις σε site "περίεργα" είτε πειρατικά είτε άλλα.... έχω δει ιδρυματικά site να μοιράζουν από pagerank μέχρι ιούς.

- - - Updated - - -

Αμα το adsl "router" το εχεις σε bridge mode δλδ στην ουσια ειναι πλεον μονο adsl modem τι γινεται σε αυτη την περιπτωση μπορουν να κανουν κατι?
εννοειται οτι το router που υπαρχει μετα θα εχει ενα σωστο και καλορυθμισμενο firewall!
και το pass να αλλαζεις αυτοι εχουν τα κολπα που ψαχνουν κωδικους ταχυτητα παλι θα τον βρουν, λιγο παραπανω χρονο θα τους παρει.
Επισης ως συνηθως στα router των παροχων τουλαχιστον δεν μπορεις να αλλαξεις και τον χρηστη, να βαλεις ενα αλλο ονομα τουλαχιστον να μην ειναι admin!

1. δεν ξέρω, αλλά δεν νομίζω οτι θα ασχοληθεί κανένας να κάνει ιστορία για modem και και, περιπτώσεις δηλαδή που είναι ένας στο εκατομμύριο χρηστών.
2. τα password δεν σπάνε όσο εύκολα νομίζεις, ειδικά με brute force. δες για παράδειγμα https://howsecureismypassword.net/

[DVader]

το να μπεις σε μολυσμένο site δεν συμβαίνει μόνο σε περιπτώσεις που μπαίνεις σε site "περίεργα" είτε πειρατικά είτε άλλα.... έχω δει ιδρυματικά site να μοιράζουν από pagerank μέχρι ιούς.

- - - Updated - - -



1. δεν ξέρω, αλλά δεν νομίζω οτι θα ασχοληθεί κανένας να κάνει ιστορία για modem και και, περιπτώσεις δηλαδή που είναι ένας στο εκατομμύριο χρηστών.
2. τα password δεν σπάνε όσο εύκολα νομίζεις, ειδικά με brute force. δες για παράδειγμα https://howsecureismypassword.net/

Το ξέρω αυτό που λές...Εδώ εκδότες μοιράζουν ιούς...

[eyw]

Ευτυχώς που δεν έχουν βρεί (ακόμα) τρόπο που να παρακάμπτει το password του admin.
Συνιστάται η αλλαγή του ονόματος admin και του factory password στα modem-router μας, αλλά όλοι μας το έχουμε κάνει ήδη.

[tzelen]

Ευτυχώς που δεν έχουν βρεί (ακόμα) τρόπο που να παρακάμπτει το password του admin.
Συνιστάται η αλλαγή του ονόματος admin και του factory password στα modem-router μας, αλλά όλοι μας το έχουμε κάνει ήδη.

Ε, τώρα να σε πώ λίγο υπερβολικό, δε θα με παρεξηγήσεις, έτσι;

[DVader]

Ε, τώρα να σε πώ λίγο υπερβολικό, δε θα με παρεξηγήσεις, έτσι;

Το υπερβολικό ποιο είναι ..? Το να αλλάξεις το password ..?

[tzelen]

Όχι βέβαια.

Υπερβολικό είναι ότι το έχουμε αλλάξει "όλοι"

[Nikiforos]

ειπαμε σε απειρα adsl router ειδικα των παροχων ΔΕΝ γινεται να αλλαχτει το ονομα χρηστη! εδω και αλλα routers που βαζουν αλλοι δουλευουν με χρηστη admin!!!! βλεπε της Mikrotik, ενω γινεται να φτιαξεις αλλον με πληρη δικαιωματα.

[Helene]

Ο περισσότερος κόσμος δεν αλλάζει το admin πάντως.

[Nikiforos]

εδω δεν αλλαζουν κωδικο και οχι μονο του router τους αλλα και στο wifi!!!!
ενα scan στην γειτονια να κανω μπορω να εχω τσαμπε ιντερνετ απο καμια 10αρια με μια καλη κεραια wifi εξωτερικη.....μη μιλησω για τα WEP.....
ειπαμε ομως στα περισσσοτερα adsl routers τουλαχιστον αυτα που δινουν οι παροχοι ΔΕΝ μπορεις να αλλαξεις ονομα χρηστη!!!! μονο τον κωδικο του.
Σε αλλα γινεται μονο με πειραγμενο FW και με κολπα "ξεκλειδωματος".