Kabel Deutschland, das nun zu Vodafone gehört, hat sich bei seinen Internetkunden einen schweren Patzer geleistet. Die vom Unternehmen für die Kunden vorkonfigurierten Router waren durch eine Sicherheitslücke, die leicht hätte vermieden werden können, erheblich gefährdet.

Sicherheitsforscher und Linuxentwickler Alexander Graf entdeckte im Zuge einer detaillierten Analyse der Router von Kabel Deutschland bereits vor Wochen gravierende Schwächen in der Konfiguration der Geräte. Nicht nur, das das Root-Passwort der Geräte entweder im Klartext oder nur schwach gehashter Form auf den Geräten abgelegt war, es war auch bei allen betroffenen Geräten identisch. Wirklich brisant wird die Lücke durch den zusätzlichen Umstand, dass die Router offenbar zu Diagnosezwecken über eine nicht dokumentierte Verbindung mit dem internen Wartungsnetzwerk von Kabel Deutschland verbunden waren. – nicht intern genug. Graf konnte die Verbindung nutzen, um sich auf den betroffenen Geräten Root-Rechte zu verschaffen und sogar eine Linuxkomponenten zu installieren. Damit standen Angreifern faktisch alle kriminellen Optionen zu Gebote, das Telefonieren über fremde Rechnung ist da nur eine der harmloseren Möglichkeiten.

Kabel Deutschland beseitigte das Problem inzwischen, über den Angriffsweg möchte Alexander Graf auf dem in wenigen Tagen stattfindenden 32C3-Kongress im Hamburg berichten.

(Via)

Keine News mehr verpassen! Unsere App für iOS und Android mit praktischer Push-Funktion.