Gefahr bei voreingestellten Passwörtern
Bereits vor drei Jahren hat das US Computer Emergency Response Team (US-CERT) darauf hingewiesen, dass mit dem Internet verbundene Geräte oft mit voreingestellten Passwörtern ausgeliefert werden. Nun hat US-CERT hierzu eine aktuelle Sicherheits-Warnung herausgegeben:
„Es ist überaus wichtig, die voreingestellten Hersteller-Passwörter zu ändern und den Netzwerk-Zugang zu kritischen und wichtigen Systemen einzuschränken“.
Hierbei sind generell alle mit dem Internet verbundenen Geräte ein Sicherheitsrisiko. Die veröffentlichte Warnung merkt dazu an, dass „kritische Einrichtungen“ und andere wichtige integrierte Systeme, Vorrichtungen, Bauteile und Geräte, den größten Grund zur Besorgnis geben. Die werksseitig voreingestellten Passwörter seien oft öffentlich bekannt und potentielle Angreifer können die betroffenen Computer mithilfe der sog. Shodan-Suche oder anderen Scan-Methoden aufspüren. US-Cert empfiehlt daher, derartige Passwörter unbedingt zu ändern, bevor die Geräte online gehen.
2010 stieß Moore, Chief Security Officer bei Rapid7, auf eine Schwachstelle in VxWorks (einem Anbieter von Backdoor-Access für diagnostische Zwecke). Er fand hunderte hierfür anfällige VoIP-, DSL-, ICS/SCADA-Produkte und Glasfaser-Switche. Alles in allem entdeckte er etwa 250.000 Systeme, die diesem sogenannten WDB-Agent ausgeliefert waren. Er stieß auch auf in die VxWorks-Firmware eingebrannte Berechtigungen, die es Angreifern ermöglicht, in Systeme via FTP oder Telnet einzudringen.
Den Nutzern kann ein Penetrationstest helfen, Systeme und Services in ihren Computern aufzuspüren, die voreingestelle Passwörter benutzen. Scan-Programme wie beispielsweise Metasploit oder OpenVAS sind als Freeware erhältlich.
Artikel von darkreading.com, 24.06.2013: US-CERT Warns Of Default Password Risks
Artikel von us-cert.gov, 24.06.2013: Risks of Default Passwords on the Internet