根据白帽汇安全研究院关注到的消息，黑客正在试图利用台湾一家公司——DrayTek旗下路由器产品的0day漏洞，该漏洞可更改使用者的DNS设置，黑客将其DNS IP更改为38.134.121.95。这可以使得恶意的攻击者将用户的访问篡改为恶意的站点，进行网络钓鱼等攻击。目前DreyTek已经就该漏洞发布公告，并紧急制作更新固件。这里提醒广大用户，及时检查自己的路由器设置，并关闭对外访问。保护自己的网络。

DrayTek成立于1997年,是一家网络解决方案供应商。目前，DrayTek的解决方案包括企业级防火墙，用于SoHo的关键任务VPN / VoIP设备，各种xDSL /宽带CPE，以及未来的电信产品和TR-069中央管理解决方案（例如VigorACS SI）。根据北京华顺信安的FOFA系统显示，目前DrayTek的路由器全网共有111万对外开放。

DrayTek旗下路由器全球网络资产分布情况（仅为分布情况，非漏洞影响情况）

DrayTek旗下路由器中国网络资产分布情况（仅为分布情况，非漏洞影响情况）

漏洞原理与危害

DrayTek旗下路由器多款产品存在CSRF和DNS篡改漏洞。任意攻击者可以远程修改DrayTek旗下路由器的DNS设置，最终导致用户的访问的网站被重定向到恶意的网站，造成敏感且重要的信息被窃取、恶意流量劫持、广告劫持等安全风险。

而在许多用户使用路由器时为默认登录凭据，也是黑客利用的方法和手段之一。而在DrayTek官方也提供了默认凭据的内容（如下图）。

漏洞影响

目前潜在影响的版本包括：

Vigor120, version 3.8.8.2
Vigor122, version 3.8.8.2
Vigor130, version 3.8.8.2
VigorNIC 132, version 3.8.8.2
Vigor2120 Series, version 3.8.8.2
Vigor2132, version 3.8.8.2
Vigor2133, version 3.8.8.2
Vigor2760D, version 3.8.8.2
Vigor2762, version 3.8.8.2
Vigor2832, version 3.8.8.2
Vigor2860, version 3.8.8
Vigor2862, version 3.8.8.2
Vigor2862B, version 3.8.8.2
Vigor2912, version 3.8.8.2
Vigor2925, version 3.8.8.2
Vigor2926, version 3.8.8.2
Vigor2952, version 3.8.8.2
Vigor3220, version 3.8.8.2
VigorBX2000, version 3.8.8.2
VigorIPPBX2820, version 3.8.8.2
VigorIPPBX3510, version 3.8.8.2
Vigor2830nv2, version 3.8.8.2
Vigor2820, version 3.8.8.2
Vigor2710, version 3.8.8.2
Vigro2110, version 3.8.8.2
Vigro2830sb, version 3.8.8.2
Vigor2850, version 3.8.8.2
Vigor2920, version 3.8.8.2

漏洞POC

目前该漏洞POC还没有公开，白帽汇安全研究院收集漏洞POC。如果您是白帽子，手里有该漏洞POC，则可以提交至FOFA系统，我们会给予相应的奖励。

CVE编号

暂无

修复建议

1、立即更新您的固件，或在更新的软件可用后立即更新。在进行升级之前，请备份当前的配置，以备日后恢复（系统维护 - >配置备份）。请使用.ALL文件进行升级，否则将擦除路由器设置。
2、检查您的路由器上的DNS和DHCP设置。如果您支持多个LAN子网的路由器，请检查每个子网的设置。您的DNS设置应该是空白的，可设置为您的ISP的正确DNS服务器地址或您故意设置的服务器的DNS服务器地址（例如Google 8.8.8.8）。一个已知的恶意DNS服务器是38.134.121.95 - 如果你看到，你的路由器已经改变，请尽快修改。在DHCP的情况下，DHCP服务器可能被禁用，这通常会导致LAN上的错误，因为设备无法使用IP地址发出，所以问题更加明显。