De Taiwanese netwerkapparatuurfabrikant DrayTek heeft een waarschuwing gepubliceerd waarin het bedrijf meldt dat aanvallers de dns-instellingen van routers wijzigen. Het bedrijf zegt aan een patch te werken, waardoor het om een kwetsbaarheid lijkt te gaan.

In de vrijdag gepubliceerde waarschuwing raadt het bedrijf gebruikers aan om de dns- en dhcp-instellingen van hun routers te controleren. Als deze zijn aangepast, zegt het bedrijf dat het nodig is een configuratieback-up terug te zetten of de instellingen handmatig naar de correcte waardes aan te passen. Ook zou het verstandig zijn om het beheerderswachtwoord te wijzigen en te controleren of er een beheerder is toegevoegd. Ook het uitschakelen van beheer op afstand is een optie, indien de gebruiker deze functie niet nodig heeft. Het bedrijf zegt niet op welke manier de aanvallers de instellingen wijzigen.

Op de site abuseIPDB melden gebruikers dat de dns-instellingen naar het ip-adres 38.134.121.95 worden gewijzigd. DrayTek noemt dat adres ook. Beveiligingsexpert Kevin Beaumont maakt op Twitter melding van de aanvallen en zegt dat de aanvallers een exploit gebruiken en door de aanpassingen internetverkeer kunnen onderscheppen. Een zoekopdracht via Shodan zou wijzen op bijna 800.000 mogelijk kwetsbare routers, waarvan ongeveer 261.000 in het VK en 148.000 in Nederland. Uit Twitter-reacties is op te maken dat de aanvallers ondanks gewijzigde wachtwoorden binnenkomen en dat in veel gevallen beheer op afstand is ingeschakeld.

De waarschuwing op de DrayTek-site vermeldt dat de updates die daar uitkomen alleen voor Britse of Ierse gebruikers zijn en dat gebruikers in andere landen hun lokale of de internationale site in de gaten moeten houden. De meest recente firmware-update op de internationale site is van donderdag.