Lancom-Setup-Assistent leert Root-Passwort
Wer Lancom-Router mit dem Windows-Setup-Assistenten konfiguriert, läuft Gefahr, das Root-Passwort durch ein leeres zu ersetzen.
Schwachstellen bedrohen Lancom-Router.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Lancom-Router weisen eine Sicherheitslücke auf, durch die unbemerkt das Root-Passwort durch ein leeres ersetzt werden kann. In der Folge können sich Nutzer aus dem LAN oder WLAN etwa per SSH auf die Geräte aufschalten und sie mit den höchsten Rechten übernehmen.
Ein Leserhinweis führte auf die Spur: Der Windows-Setup-Assistent setzt das Root-Passwort zurück, sofern ein weiterer administrativer Nutzer mit der Software eine Konfigurationsänderung vornimmt, im konkreten Beispiel etwa ein VPN-Profil einrichtet. Lancom erläutert, dass das Passwort des Administrators "root" nach dem Schreiben einer vollständigen Konfiguration – etwa per Setup-Assistent in LANconfig – mit einem weiteren Administrator-Account mit Supervisor-Berechtigung zurückgesetzt und damit gelöscht wurde. Solche Konstellationen in Unternehmen sind nicht unüblich, dort haben Admins typischerweise individuelle Zugänge.
Lancom: Sicherheitslücke erst vor wenigen Monaten eingeführt
Die Router-Firmware war dem Hersteller zufolge seit Version LCOS 10.80 RU1 bis einschließlich 10.80 RU3 von der Schwachstelle betroffen, den Fehler behebt die neue Fassung 10.80 SU4. Ältere Versionen sind laut Lancom nicht dafür anfällig. Der Hersteller ergänzt zudem, dass auch dann, wenn der Zugriff für die einzelnen Protokolle aus dem WAN erlaubt wurde, der Zugriff aus dem Internet auf den Router für den root-Zugang nicht möglich sei. Bei Administratorkonten mit leerem Passwort von der WAN-Seite quittieren die Router demzufolge den Zugriffsversuch mit "Access denied". Zudem seien standardmäßig alle Protokolle für den Zugriff aus dem Internet deaktiviert.
Sollte ein Firmware-Update noch nicht möglich sein, empfiehlt Lancom, temporär zusätzliche Administrator-Konten von den Geräten zu entfernen und das root-Konto zu nutzen. Alternativ ist auch ein Firmware-Downgrade auf LCOS 10.72 RU7 möglich, das nicht von der Sicherheitslücke betroffen ist. Dabei gilt es jedoch, Hinweise von Lancom zu beachten.
Lancom gehörte zu den ersten Herstellern, die Router mit dem IT-Sicherheitskennzeichen des Bundesamts für Sicherheit in der Informationstechnik (BSI) auf dem Markt angeboten haben. Das IT-Sicherheitskennzeichen erfordert etwa, Produkte mindestens über die Laufzeit des Kennzeichens mit sicherheitsrelevanten Updates zu versorgen, möglicherweise auftretende Sicherheitslücken abzudichten und den Stand der Fehlerbehebung an das BSI zu melden. Da das BSI auf seiner Webseite weitere Informationen zu zertifizierten Geräten anbieten will, muss Lancom das BSI über die Sicherheitslücke informieren und dort die Sicherheitslücke mitsamt aktualisierter Firmware vermerken. Das hat in diesem Fall für einige Tage Verzögerung gesorgt.
Die in Kürze ablaufenden Sicherheitskennzeichen für die Lancom-Geräte plant der Hersteller zu verlängern.
Das Sicherheitsupdate ist inzwischen für alle Lancom-Router verfügbar und heißt "10.80 SU4", nicht RU4, wie ursprünglich in der Meldung stand.
(dmk)