Sicherheitslücke bei Draytek-Routern

Die ISDN- und DSL-Router vom Typ vigor2000 der Firma Draytek lassen sich in der Grundeinstellung nicht nur aus dem lokalen Netzwerk, sondern auch aus dem Internet konfigurieren. Mit geringem Aufwand ist es über diesen Zugang möglich, den Benutzernamen und das Passwort der Internet-Verbindung auszulesen.

c't empfiehlt, diese Lücke zu schließen, indem man den Konfigurationszugang auf das lokale Netzwerk beschränkt. Wer nicht auf die Fernkonfiguration verzichten kann, sollte zumindest ein schwer zu erratendes Gerätepasswort setzen. Eine ähnliche Sicherheitslücke ist bei den Lancom-Routern der Firma ELSA seit Juli bekannt. Auch hier sollte man die Fernkonfiguration abschalten oder sie zumindest mit einem Passwort versehen. (je)