TraveDSL-Router aus dem Internet angreifbar [Update]
DSL-Kunden der LĂĽbecker Stadtwerke sollten dringend die Firmware ihrer DSL-Router vom Typ Siemens Santis ADSL 200 aktualisieren.
Von den Lübecker Stadtwerken an ihre TraveDSL-Kunden herausgegebene Router verfügen standardmäßig über einen aus dem Internet erreichbaren Zugang für die Fernwartung, der sich nicht deaktivieren lässt. Bei den betroffenen Geräten handelt es sich um das ältere Modell Siemens Santis ADSL 200 mit eingebautem ADSL-Modem aus dem Jahr 2001, für das der Hersteller offenbar keinen Support mehr bietet. Auf diesem kann ein Angreifer aus dem Internet mit dem voreingestellten Standard-Passwort beispielsweise HTTP-Anfragen auf manipulierte Server umleiten oder Zugriff auf das interne Netzwerk erlangen.
Wie in diversen DSL-Foren zu erfahren ist, ist das Problem mit der aus dem Internet erreichbaren Fernwartung per Telnet und HTTP schon seit 2004 bekannt. Als vorläufiger Workaround wird vorgeschlagen, die Ports 23 und 80 für Zugriffe aus dem Internet an eine nicht existente IP-Adresse weiterzuleiten. Zwar bieten die Lübecker Stadtwerke für TraveDSL-Kunden zur Behebung der Lücke seit November vergangenen Jahres ein Firmware-Update und haben ihre Kunden darauf in einer E-Mail hingewiesen, doch nach Recherchen von heise Security sind noch immer viele TraveDSL-Router über den Telnet-Port erreichbar. TraveDSL-Kunden mit Santis-Router sollten umgehend das Update einspielen.
Derzeit ist unklar, ob aktuell an TraveDSL-Kunden ausgegebene Router-Modelle die SicherheitslĂĽcke ebenfalls aufweisen oder ob notwendige Upgrades bereits eingespielt wurden. Der Pressesprecher der LĂĽbecker Stadtwerke stand fĂĽr RĂĽckfragen leider nicht zur VerfĂĽgung.
[Update]:
Die Stadtwerke LĂĽbeck arbeitet derzeit aktiv an der Behebung des Problems. Nach Auskunft des Pressesprechers will der Provider in der kommenden Woche alle betroffenen Kunden, die sich durch einen Portscan ermitteln lassen, telefonisch und per Briefpost benachrichtigen und diesen gegebenenfalls Hilfestellung vor Ort bei dem Firmware-Upgrade bieten.
Bis Ende vergangenen Jahres wurde versucht, dem Problem mit der Sperrung der betroffenen Ports beizukommen. Da TraveDSL-Neukunden seit Anfang vergangenen Jahres Router eines anderen Herstellers erhalten, die den Fehler nicht enthalten, entwickelte sich diese Maßnahme für einen immer größeren Teil der Kunden zum Hindernis. Dem seit November auf der Homepage geschalteten Aufruf, das notwendig Update durchzuführen, sind bislang rund 80 Prozent der betroffenen Kunden gefolgt. (cr)
