VORSICHT: Standardpasswort öffnet A1 Telekom Austria Pirelli PRGAV4202N Router

[pc.net]

Zitat:

Österreich: Standardpasswort öffnet 7000 VDSL-Router

Die Router von 7000 Kunden mit VDSL-Anschlüssen der A1 Telekom Austria benötigen neue Firmware. Die ursprüngliche Version lässt Zugriffe aus dem Internet mit einem einheitlichen Passwort zu. Nicht immer erfolgt das Update automatisch.

A1 Telekom Austria (TA) stattet ihre VDSL-Kunden vorrangig mit Modems des Typs Pirelli PRGAV4202N aus. Auf diesen Geräten läuft in der ursprünglich ausgelieferten Firmwareversion (endend auf 25.5) ein SSH-Dienst, der unter dem Standardport 22 erreichbar ist. Bei Eingabe des richtigen Passworts erhält man darüber Zugriff mit Root-Rechten. Das Passwort ist bei allen diesen von der TA ausgelieferten Routern gleich. Und der Port ist nicht nur innerhalb des LANs offen, sondern auch aus dem Internet erreichbar. Somit kann jeder, der das Passwort kennt, alle betroffenen Router beliebig manipulieren.

Ein User berichtete in einem Forum auf xdsl.at darüber und postete auch Username und Passwort. Er freute sich über die zahlreichen zusätzlichen Features, die er seinem Router damit entlocken konnte. Die für Root-User zugängliche Web-Oberfläche (Screenshots) ist nämlich wesentlich reichhaltiger, als jenes, das die TA ihren Kunden normalerweise freigibt.

Wenig Freude löste die Mitteilung aber bei der TA aus, deren Rechtsabteilung die xdsl.at-Betreiber dazu veranlasste, das Diskussionsforum zu löschen. Doch der Geist war aus der Flasche. Wie weit sich die Kenntnis über das Passwort bereits verbreitet hat, ist unklar. Besitzer eines betroffenen Routers sollten jedoch auf der Hut sein.

Die TA will mit einem Update der Firmware reagieren. Das Passwort dürfte dabei zwar gleich bleiben, doch soll dann der Port 22 nicht mehr aus dem Internet erreichbar sein. Damit wird das Missbrauchspotenzial eingedämmt. Die neue Firmware soll in vielen Fällen automatisch heruntergeladen, installiert und beim nächsten Neustart des Routers geladen werden. Jene Kunden, bei denen das so nicht funktioniert, wird die TA anschreiben, um sie zur manuellen Installation der neuen Firmware zu bewegen. Die manuelle Aktualisierung lässt sich hier durchführen: Update für ihr Pirelli-Modem.

Das Passwort ist durch die Auswertung der Übertragungen einer von der TA mitgelieferten Installationssoftware bekannt geworden. Das Programm stammt von der Wiener Firma mquadr.at, die auch für andere ISP tätig ist. mquadr.at hat auf eine Anfrage von heise Security nicht reagiert.

Ähnliche Probleme mit der Sicherheit von Routern, deren Konfigurationsoberfläche aus dem Internet erreichbar waren, gab es auch bereits bei der T-Com und der Swisscom. Als Workaround sperrte die T-Com seinerzeit sogar die Ports in ihren Netzen, um die Router vor Angriffen zu schützen.

(Daniel AJ Sokolov) / (dab)

Quelle

[pc.net]

Thread dazu auf xdsl.at

[Don Manuel]

Der "don" war aber nicht ich

[enjoy2]

wie auch in der Original-Meldung beschrieben sollten alle User dieses Modems so schnell wie möglich ein Firmwareupdate durchführen

Das Update der Firmware für das Pirelli Modem findet ihr hier www2.aon.at/Firmware/Pirelli/PirelliUpgrade/start.html


ohne dieses Update wären zB. Man in the Middle Angriffe problemlos möglich, dh. es wird die Route zum Homebanking-Server über einen anderen Server umgeleitet und geändert, ohne das es der User oder die Bank merkt - erst der Kontoauszug würde die Unstimmigkeiten aufzeigen

rate daher dringend zu dem Firmware-Update

[ANOther]

Zitat:

Zitat von enjoy2

ohne dieses Update wären zB. Man in the Middle Angriffe problemlos möglich, dh. es wird die Route zum Homebanking-Server über einen anderen Server umgeleitet und geändert, ohne das es der User oder die Bank merkt - erst der Kontoauszug würde die Unstimmigkeiten aufzeigen

GANZ so einfach isses nu a wieder nicht...
so kann der h@XX0r eine route setzen, zwei, drei, viele, er wird allerdings am ssl zu beissen haben...

[enjoy2]

hmm, wenn ich den DNS Server im Router auf "meinen" einstelle, sollte dies relativ einfach sein, bin hier aber nicht der Fachmann

[ANOther]

du müsstest noch auf den pc des "opfers" einsteigen, und die kiste dazu bringen, dass ebendieser deinen "server" als den richtigen erkennt (https, ssl, zertifikate)

das is echt aufwand, der lohnt sich IDR ned

[enjoy2]

wenn ich daran denke, dass die Leute auf jeden "Schaß" Link in E-Mails klicken, dann ist ein Klick auf ein kl. Fenster, dass der Zertifikat erneuert kein Hindernisgrund;
bzw. bin ich mir sicher, dass den wenigsten auffallen würde, wenn eine Seite nicht verschlüsselt wäre

was ich nicht ganz verstehe, warum man diesen Zugang über das Internet verfügbar machte

[ANOther]

Zitat:

Zitat von enjoy2

wenn ich daran denke, dass die Leute auf jeden "Schaß" Link in E-Mails klicken, dann ist ein Klick auf ein kl. Fenster, dass der Zertifikat erneuert kein Hindernisgrund;
bzw. bin ich mir sicher, dass den wenigsten auffallen würde, wenn eine Seite nicht verschlüsselt wäre

bin ich voll deiner meinung.
ich finde allerdings auch, dass diese personengruppe telebanking, facebook und alles, was nur irgendwas mit benutzerdaten zu tun hat nicht verwenden sollte...

Zitat:

Zitat von enjoy2

was ich nicht ganz verstehe, warum man diesen Zugang über das Internet verfügbar machte

ich denke nicht, dass es "bewusst" passiert ist...

[enjoy2]

wer weiß was beim Rauchen alles passieren kann