XXXXairocon: Router von fĂĽnf Herstellern mit Standardpasswort
Unter anderem sind Asus und ZTE betroffen. Über den Telnet-Port können die Angreifer die betroffenen Geräte kapern. Die Hersteller lassen sich mit Updates viel Zeit.
- Fabian A. Scherschel
Heimrouter der Firmen Asus, Digicom, Observa Telecom, Philippine Long Distance Telephone (PLDT) und ZTE lassen sich mit wenig Aufwand über Telnet kapern. Die betroffenen Geräte benutzen das fest eingestellte Standardpassword "XXXXairocon", wobei die vier X für die letzten vier Stellen der MAC-Adresse des Gerätes stehen. Diese lässt sich an Hand des SNMP-Traffics des Routers leicht ermitteln.
Bei allen Geräten außer denen von PLDT ist der zu dem Passwort gehörige Benutzername "admin". Bei PLDT-Routern heißt er "adminpldt". Bei den ZTE-Geräten ist die Lücke bereits seit 2014 bekannt, seit Mai kursieren Hinweise auf die selbe Lücke bei den Observa-Geräten. Es muss also davon ausgegangen werden, dass die Lücke auch schon bei anderen Routern für Angriffe genutzt wurde.
Folgende verwundbare Router sind bis jetzt bekannt:
- Asus: DSL N12E
- Digicom: DG-5524T
- Observa :RTA01N
- PLDT: SpeedSurf 504AN
- ZTE: ZXV10 W300
Keiner der betroffenen Hersteller hat bis jetzt mit Updates reagiert. Das CERT der Carnegie-Mellon-Universität empfiehlt deswegen, den Telnet-Dienst und SNMP-Verkehr der Geräte mit Firewall-Regeln abzuklemmen. (fab)