●概述：
居易科技(DrayTek)為國內網路設備製造商，路由器、交換器、防火牆、VPN裝置主要外銷歐洲，本月多名消費者抱怨被不明人士更動路由器DNS設定，IP定址為38.184.121.95，屬中國電信管轄，此事件被定義為0-day攻擊，在公開前約已持續二週，也許是大型攻擊前期行動，由於未遺留可疑登入紀錄，判斷特徵應是類似CSRF(跨站台請求偽冒)之探勘手段，而非破密後控制設備參數。基於產品安全顧慮，居易科技公司暫無規劃公開弱點探勘技術細節，僅5月18日於官網說明此次事件影響，並釋出更新韌體，在回應該漏洞事件的同時，查詢該惡意IP已無任何回應，顯然該設備東窗事發後被離線處置。至於28款弱點機型在韌體確實修補前，應檢查DNS IP是否正常，且關閉遠端存取管理介面功能，養成https://連線作業習慣，以根除密碼遭竊、插播廣告、妨礙金融等危害。
●編註：
(1)0-day攻擊效應
若符合特定網路條件，攻擊者得攔截或製造管理者層級連線，以更改網路設備組態，控制設備運作，據悉，DrayTek Vigor路由器之web管理介面出現安全缺陷，招致DNS竄改及所謂CSRF(跨站台請求偽冒)之類攻擊，案內部分受害者明確表示，早已更改原廠預設帳密，其中2款型號被竄改DNS後，竟查無任何登入系統相關紀錄，肯定未發生帳密驗證程序，顯然這項router入侵事件，是經由某種漏洞探勘手段達成，而非傳統的破解密碼。
儘管攻擊者意圖不明，但刻意變更DNS server位址為大陸地區IP(38.184.121.95)，可能是大型攻擊第一階段行動，試圖將受害者轉向惡意伺服器，誤導至釣魚網站，強迫插播廣告，或使帳密資料遭竊，禍及銀行金融領域。
(2)應對作為
鑒於居易原廠正陸續關出各機種修補方案，獲得正式解決之前，須優先進行下列步驟：
(2-1)若有必要，回復原廠設定值，避免漏查可能遭駭客變更之參數；
(2-2)重設具充分強度之密碼，檢查管理者群組是否出現不明帳號；
(2-3)確認DNS 二組IP是否為正常ISP或企業內部所有；
(2-4)關閉遠端存取管理介面功能，也暫停SSL VPN於port 443之流量；
(2-5)即使在LAN環境操作，也要採https://連線。
(3)影響區域
據Shodan搜尋結果，線上DrayTek Vigor系列路由器及DSL modems設備量約79萬，26萬分佈在英國，14萬分佈在荷蘭，其他則銷往我國、越南、德國，前述地區用戶應審查所持設備型號，若列為弱點機型清單，宜迅速採取對策。
(4)弱點機型
已知漏洞影響居易科技Vigor韌體3.8.8.2版，目前搭配Vigor系列型號28款臚列如下：
Vigor120、Vigor122、Vigor130、VigorNIC 132、Vigor2120 Series、Vigor2132、Vigor2133、Vigor2760D、Vigor2762、Vigor2832、Vigor2860、Vigor2862、Vigor2862B、Vigor2912、Vigor2925、Vigor2926、Vigor2952、Vigor3220、VigorBX2000、VigorIPPBX2820、VigorIPPBX3510、Vigor2830nv2、Vigor2820、Vigor2710、Vigro2110、Vigro2830sb、Vigor2850、Vigor2920。
另無線VigorAP、交換器、及Vigor 2950、2955、2960、3300、3900等較新路由器，均未受弱點波及。