D-Link路由器出现漏洞 黑客可窃取用户数据

一名安全研究人员上周五表示，黑客可利用d-link调制解调器路由器中的漏洞将人们链接到虚假银行网站，试图窃取他们的登录凭证。

据悉，该漏洞适用于过去两年未修补的d-link dsl-2740r、dsl-2640b、dsl-2780b、dsl-2730b和dsl-526b型号。如此处的公开内容所述，该漏洞允许攻击者远程更改连接的计算机用于将域名转换为ip地址的dns服务器。

根据安全公司radware周五发布的一份报告称，黑客一直利用这个漏洞让人们试图去访问两个巴西银行网站banco de brasil’s www.bb.com.br和unibanco’s www.itau.com.br的恶意服务器。

在这份报告中，radware公司的研究员pascal geenens写道：

在用户完全不知道变化的意义上，攻击是隐蔽的。劫持工作无需在用户的浏览器中进行或更改url。用户可以使用任何浏览器和常规的快捷方式，他或她可以手动输入url，甚至可以从iphone、ipad、安卓手机或平板电脑等移动设备上使用。用户的请求将被发送到恶意网站而不是真正想访问的网站，因此劫持在网关级别是有效的。

geenens称，banco de brasil网站可通过未加密和未经身份验证的http连接进行访问，这可以防止访问者收到重定向网站恶意的任何警告。使用更安全的https协议进行连接的人会收到浏览器的警告，即数字证书是自签名的，但他们可能已被欺骗点击选项接受它。

除了自签名证书，该网站是一个令人信服的带有欺骗性的真实网站。如果用户已经登录，则会将其站点凭据发送给广告系列后面的黑客。欺骗站点是由托管恶意dns服务器的相同ip地址提供的。

试图访问unibanco的人被重定向到与恶意dns服务器和假banco de brasil站点在同一ip地址托管的页面。然而，该页面实际上并没有欺骗银行的网站，这表明它可能是一个尚未建立的临时登陆页面。

在geenens向ovh公司报告恶意dns服务器和欺骗站点后，该公司在周五早上关闭了恶意操作。

由于恶意dns服务器无法运行，连接到受感染d-link设备的人可能无法使用internet，直到他们更改路由器上的dns服务器设置或重新配置其连接设备以使用备用dns服务器。

据悉，这是利用路由器的最新黑客攻击活动。今年5月，研究人员发现了可能是一种不相关的攻击，这种攻击感染了各种制造商生产的约50万台消费级路由器。

美国联邦调查局警告称，vpnfilter是俄罗斯黑客研发的非常先进的路由器恶意软件。

在2016年，被称为dnschanger的恶意软件导致路由器运行未修补的固件或使用弱管理密码保护以使用恶意dns服务器。连接的计算机将连接到虚假站点。但在这种情况下，路由器是从家中重新配置的，而不是从internet远程重新配置的。

防止路由器攻击的最佳方法是确保设备运行最新的固件并使用强密码保护。一个良好的纵深防御确保连接的每个设备使用可信dns服务器，例如来自cloudflare的1.1.1.1或来自谷歌的8.8.8.8.这些设置在连接设备的操作系统中进行，将覆盖在路由器中进行的任何设置。