D-Link DSL-321B (Revision Z)

In der Nacht von Montag auf Dienstag wurden laut Informationen, die heise Security vorliegen, reihenweise DSL-Modems von D-Link des Typs DSL-321B manipuliert. Bei einer in Deutschland und Österreich vertretenen Restaurantkette sind sämtliche in den Filialen installierten Geräte betroffen – insgesamt 19 Stück. Vermutlich gibt es viele weitere Opfer.

Bei den Geräten wurden die eingestellten DNS-Server verändert. Diese kleine Manipulation genügt, um fast den gesamten Internet-Traffic des Opfers auszuspähen und zu manipulieren. Im aktuellen Fall wurde unter anderem die IP-Adresse 37.1.206.9 als DNS-Server eingetragen. Das fiel schnell auf, weil unter dieser IP-Adresse kein aktiver DNS-Server geantwortet hat und somit faktisch kein Zugriff auf das Internet mehr möglich war.

Sicherheitslücken

Wie die Angreifer das Modem manipulierten war zunächst völlig unklar. Auch D-Link konnte sich diese Vorgänge nicht erklären – einem ersten Statement zufolge laufen auf den Geräten keine Dienste, die über das Internet zugänglich sind. Außerdem seien keine unbehandelten Schwachstellen bekannt. Bei unserer Recherche stießen wir allerdings auf Anhieb auf Tausende Modems, deren Web-Interface über Port 80 über das Internet erreichbar ist. Dabei arbeitet das Modem als eine Art Mini-Router, auf dem auch Dienste laufen, die aus dem Internet erreichbar sind. Anschließend konnten wir auch noch stichprobenartig die Authentifizierung umgehen und hätten die Modems beliebig umkonfigurieren können.

Bei einem weiteren Austausch mit D-Link stellte sich heraus, dass es sehr wohl eine Hardware-Revision gibt, deren Web-Interface im Auslieferungszustand über das Internet erreichbar ist; fatalerweise selbst dann noch, wenn der Kunde das Remote-Management deaktiviert. Betroffen ist die Revision Z mit Firmware 1.0.5.

Abhilfe schafft die Version 1.0.9, die bereits seit Ende vergangenen Jahres auf dem FTP-Server des Herstellers schlummert, aber nicht auf der eigens eingerichteten Router-Sicherheitsseite verlinkt wurde. Allerdings hat auch die neuere Firmware einen großen Haken: Mit dem Update handelt man sich ein anderes Problem ein, nämlich einen offenen DNS-Resolver. Das Modem antwortet nach dem Einspielen auf DNS-Anfragen aus dem Internet, wodurch man es für eine sogenannte DNS Amplification Attack missbrauchen kann. Einige Provider wie die Telekom schreiben ihren Kunden deshalb an, wenn sie solche Resolver entdecken.

Mittlerweile hat D-Link auch dafür eine Lösung parat, nämliche die Firmware 1.0.10, die das Unternehmen am Donnerstagnachmittag auf seinen FTP-Server geladen hat. Die Ankündigung auf der Sicherheitsseite soll am morgigen Freitag folgen. Auffällig ist, dass der Dateiname des Updates den Zeitstempel 20131127 enthält, also offenbar bereits am 27. November vergangen Jahres erstellt wurde, woraufhin auch das Änderungsdatum der Firmware hindeutet. Nach über drei Monaten ist das Update also endlich auch bei den deutschen Kunden angekommen.

Wer ein DSL-Modem des Typs DSL-321 der Z-Revision betreibt, sollte das Update umgehend einspielen. Auch für die ältere D-Revision gab es vergangenes Jahr ein Update, das kritische Lücken schließt. Aktuell ist dort Version 1.0.5.

Grundsätzlich sollte man sicherstellen, dass Embedded Devices wie DSL-Modems oder Router keine eigenen Dienste anbieten, die über das Internet erreichbar sind. Mit dem Netzwerkcheck von heise Security können Sie Ihren Internetanschluss selbst überprüfen.

Update vom 7.3., 16 Uhr: Inzwischen hat D-Link die Informationen wie angekündigt auf seine Router-Sicherheitsseite gestellt. (rei)