近日,中国电信集团官方微博发出安全预警(如下图),称中国电信网络安全中心(SOC- Security Operation Center)的技术专家近期发现国内网民家用宽带路由器中的DNS配置可能被黑客篡改,引发用户个人敏感信息泄露。微博指出,黑客利用家用无线宽带路由 器使用admin/admin作为默认用户名/口令的弱点,在某些网页中恶意嵌入了修改家用无线宽带路由器DHCP中DNS配置的代码,用户只要浏览黑客 控制的网页,家用无线宽带路由器的DNS IP地址就会在用户不知情的情况下被篡改。
恶意的DNS地址已经被定位到66.102.*.*和207.254.*.*这两组位于境外的IP网段内。
此 微博建议用户仔细检查家用无线路由器的DHCP中的DNS地址,如果出现66.102.*.*和207.254.*.*这两段范围内的DNS地址,应该立 即复位无线宽带路由器的出厂设置、修改路由器的用户名和口令。未被黑客篡改DNS地址的用户也应该立即修改家用路由器的默认口令。
DNS被 篡改可引发严重的网络安全问题,黑客可以很容易将用户引导到仿冒的欺诈网页,骗取用户的各种帐号密码,国外曾因类似事件给用户个人和银行造成重大损失。由 于这些家用无线宽带路由器大都是用户自行购买安装,运营商无法直接操作,只能由用户自行查看处理。微博提到用户可以向中国电信客服10000号寻求帮助, 中国电信客服官方微博也同步转发了此微博。
业内人士指出,中国电信近年来在互联网安全上的重视程度在国内运营商处于比较领先的地位,中国电 信对互联网流量流向的监控分析,特别是2009年519暴风影音事件后对DNS流量的持续关注可能是发现此次安全漏洞的主要原因。经技术分析,此次事件曝 出的两个IP网段内确实有开放DNS 解析服务的IP 地址,可能电信安全人员已经掌握了受影响的用户规模,只是暂未公布。虽然受影响用户数暂时未公布,但据推测,这个数字应该相当可观,否则很难从网络侧被觉 察,也不会通过官方渠道进行发布。另外,针对有网友提出的运营商应切断黑客DNS服务IP地址的做法,技术人士认为不太可取,因为这可能会导致用户所有域 名解析请求失效,用户无法访问任何互联网站;而且被劫持的IP地址可能变化,被动的IP地址封堵无法治本。分析同时指出,此次事件的影响面应该涉及国内多 家运营商用户,而不仅仅是中国电信用户。截至发稿前,其他国内主流运营商未见相关报道。
