Een beveiligingslek in DSL-modems van netwerkfabrikant D-Link wordt actief gebruikt om Duitse internetgebruikers aan te vallen. Aanvallers die via het lek toegang tot de modem krijgen wijzigen vervolgens de DNS-instellingen van het apparaat. Daardoor kan het internetverkeer worden afgeluisterd.

Ook kunnen de aanvallers gebruikers naar kwaadaardige websites doorsturen. Bij de aanvallen die bekend zijn geworden bleek dat de aanvallers een fout hadden gemaakt. Op het IP-adres dat werd ingesteld draaide geen DNS-server, waardoor de aanval snel opviel. Slachtoffers konden hierdoor namelijk geen websites meer bezoeken. Het Domain Name System (DNS) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar IP-adressen. Door de afwezigheid van een DNS-server konden de IP-adressen van de websites die gebruikers opvroegen niet worden gevonden.

Bij de filialen van een restaurantketen in Duitsland en Oostenrijk waren de DSL-modems, negentien stuks in totaal, aangepast. Mogelijk zijn er echter veel meer slachtoffers. Het Duitse IT-magazine Heise ontdekte dat er alleen in Duitsland duizenden kwetsbare modems zijn. Het probleem wordt veroorzaakt doordat de webinterface via het internet (poort 80) toegankelijk is en een aanvaller het authenticatiegedeelte kan omzeilen.

De netwerkfabrikant heeft nu een beveiligingsupdate voor de D-Link DSL-321B uitgebracht, maar die bleek al sinds 27 november vorig jaar op de plank te liggen, zo stelt Heise. De firmware-update heeft namelijk als datum 20131127. Vanwege de aanvallen krijgen Duitse internetgebruikers met een kwetsbare DSL-modem het advies om de update zo snel als mogelijk te installeren.