Muchos usuarios han reportado en twitter este ciber-ataque contra los routers de este fabricante, en algunos casos los atacantes han cambiado la configuración DNS de los routers, hacia un servidor DNS fraudulento 38.143.121.95 que pertenece a la red China de Telecom.
Al realizar el cambio de los DNS por otros falsos, hace que los usuarios resuelvan direcciones IP falsas para los dominios en que visitan, logrando mediante un ataque MITM poder robar credenciales de las victimas en sitios que son completamente falsos.
DrayTek publicó un articulo en el cual se advierte a sus clientes sobre esta vulnerabilidad crítica, y ademas les enseña como realizar la revisión de su configuración DNS.
"En mayo de 2018, nos dimos cuenta de nuevos ataques contra dispositivos habilitados para la web, que incluyen los enrutadores DrayTek. Los ataques recientes han intentado cambiar la configuración DNS de los enrutadores ", dice el reporte publicado.
"Si tiene un enrutador compatible con múltiples subredes LAN, verifique la configuración de cada subred. Su configuración de DNS debe estar en blanco, configurada con las direcciones de servidor DNS correctas de su ISP o direcciones de servidor DNS de un servidor que ha configurado deliberadamente (por ejemplo, Google 8.8.8.8). Un servidor DNS fraudulento conocido es 38.134.121.95; si lo ve, su enrutador ha sido cambiado. "
@DrayTekUK @DrayTek_HQ guys we need urgent clarification on the current #hacks #breaches we’ve now on router number 5 hit since #yesterday we need #guidance #now #sme #msp #it— Adam Shailes (@adamitec) 17 de mayo de 2018