Verschillende routers van netwerkfabrikant D-Link bevatten een kwetsbaarheid waardoor een aanvaller op afstand en zonder inloggegevens de DNS-instellingen van de apparaten kan aanpassen. Op deze manier kan de aanvaller het verkeer van de gehackte router via zijn servers laten lopen, zo meldt PC World.
De kwetsbaarheid bevindt zich in de ZynOS-routerfirmware, ontwikkeld door fabrikant ZyXEL. Naast D-Link wordt de firmware ook door andere fabrikanten gebruikt, waaronder TP-Link en ZTE.
Via het lek is het mogelijk om zonder geldige gebruikersnaam en wachtwoord toegang tot de beheerdersinterface te krijgen. Het probleem speelt zowel bij een beheerdersinterface die direct toegankelijk via internet is als een interface die alleen lokaal toegankelijk is. In dit laatste geval moet een aanvaller een CSRF-aanval uitvoeren.
<>Eenmaal toegang tot de interface kan de aanvaller de DNS-instellingen wijzigen. Het Domain Name System (DNS) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar IP-adressen. Door de DNS-kaping kan een aanvaller het verkeer van gebruikers manipuleren. Voor zover bekend is het lek aanwezig in de D-Link DSL-2740R en de D-Link DLS-320B. Beide modellen zijn in Nederland verkocht, waarbij de DLS-320B nog steeds wordt aangeboden.
Onderzoeker Todor Donev die het probleem ontdekte rapporteerde dit niet aan fabrikant D-Link, waardoor er nog geen update beschikbaar is. Daar komt bij dat de DSL-2740R een uitgefaseerd model is. Donev stelt tegenover Threatpost dat ook andere modellen kwetsbaar zijn, maar dat hij niet de middelen heeft om alle getroffen apparaten te testen. Inmiddels heeft hij ook een exploit online gezet om de aanval te demonstreren.
Bron: Security.nl