Nach Routern geraten nun offenbar auch mangelhaft gewartete DSL-Modems vermehrt in den Fokus von Angreifern. So berichtet heise.de über eine große Angriffswelle auf Geräte des Herstellers D-Link, die zwischen Montag und Dienstag erfolgt ist.

Angriff

So sei etwa eine gesamte Restaurantkette betroffen, die sowohl in Deutschland als auch in Österreich aktiv ist. Bei all den geknackten Modems wurden die DNS-Einträge manipuliert und auf eine falsche IP-Adresse umgestellt.

Manipulation

Besitzen die Angreifer Zugriff auf die betreffenden Server - und davon ist auszugehen - besteht die Möglichkeit, dass sie Webseitenzugriffe umleiten, um in Folge Schadcode auszuliefern. Im konkreten Fall fiel die Attacke deswegen auf, weil zumindest ein eingetragener DNS nicht aktiv ist, wodurch die Web-Nutzung zusammenbrach.

Falsche Offenheit

Betroffen sind Geräte des Typs DSL-321B von D-Link. Angriffspunkt scheint zu sein, dass zumindest bei einem Teil der Geräte - konkret bei der Revision Z - der Port 80 ins Internet offen ist, und zwar selbst wenn das Remote Management deaktiviert ist. Wie heise getestet hat, ließ sich auf diesem Weg die Authentifizierung des Modems umgehen, und in Folge die Einstellungen nach Belieben anpassen.

Update

Der Hersteller empfiehlt allen BenutzerInnen eines solchen Modems zu einem umgehenden Update auf die seit kurzem verfügbar Softwareversion 1.0.10. Zwar wurde das erwähnte Problem theoretisch bereits Ende des letzten Jahres mit Firmware 1.0.9 geschlossen, diese war aber nur recht versteckt über einen FTP-Server verfügbar. Außerdem führt die Version 1.0.9 erst recht wieder eine neue Sicherheitslücke ein. Eine offizielle Ankündigung der Firmware 1.0.10 soll in Kürze folgen. (red, derStandard.at, 7.3.2014)