Serielle Gefahr im Internet

Der Sicherheitsexperte HD Moore warnt vor offenen Serial-Port-Servern im Internet. Über 100.000 solcher Systeme hat er bei seinen Analysen gefunden und über 13.000 davon boten administrativen Zugriff ohne jegliche Abfrage von Passwörtern.

Diese gelegentlich auch als Terminal-Server bezeichneten Geräte sind im Prinzip eine Art ins Internet verlängerte serielle Schnittstelle. Durch den Zugriff auf einen bestimmten TCP-Port kann man übers Netz mit dem seriellen Port des damit verbundenen Geräts "sprechen". Häufig sind das dann Steuerungssysteme oder Wartungszugänge. HD Moore identifizierte über SNMP-Abfragen allein 114.000 Terminal Server der Hersteller Digi und Lantronix im Internet; 95.000 davon waren über Mobilfunknetze wie GPRS oder UMTS angebunden.

Das Problem ist, dass diese Zugänge dann oft gar nicht oder zumindest nicht ausreichend gesichert sind. In rund 13 000 Fällen landete HD Moore beim Anwählen des Ports ohne viele Umstände auf einem Kommandozeilenprompt, der ihm einen administrativen Zugang auf ein Gerät gewährte oder erhielt Zugang zu einem Datenstrom.

Die gefundenen Systeme waren unterschiedlichen Klassen zuzuordnen; von Steuerungen für Ampelanlagen über ein System zur Verwaltung von Wäschetrocknern einschließlich der angeschlossenen Bezahlterminals bis hin zum VPN-Server in Firmen fand Moore ein buntes Sammelsurium vor.

Wer solche Systeme ans Internet bringt, etwa um eine Fernwartung zu ermöglichen, muss sie unbedingt auch durch entsprechende Maßnahmen absichern. Das kann eine Beschränkung des Zugriffs über VPN sein oder der Aufbau eines SSH-Tunnels mit starker Authentifizierung. Für die Untersuchung benutzte Moore übrigens die Daten des umstrittenen Internet Census, bei dem ein Unbekannter mit Hilfe eines selbst erstellten Botnets das gesamte Internet gescannt und die Ergebnisse veröffentlicht hatte.

Update: 25.4.2013, 13:15: Begriffe Serial-Port-Server und Terminal-Server besser erklärt, um Missverständnisse zu vermeiden. (ju)