absicht - oder super-bug ?

Alles rund um die Hardware der DrayTek Multi-WAN Router Serie Vigor 3200.

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

absicht - oder super-bug ?

Beitragvon nobody » Mi 13.06.2012 - 23:03

bei der installation eines 3200 fiel auf:
Ist das admin passwort gesetzt, so kann man sich dennoch mit leerem benutzernamen + passwort auf dem Web-interface anmelden. Dies geht, so man den zugriff von extern erlaubt hat auch von extern.

Man bekommt dann ein reduziertes aber, immer noch mächtiges webinterface. Incl. der möglichkeit z.B. den internet zugang zu konfigurieren.

Das kann ja auch absicht sein. Aber, trotz kurzer durchsicht der menues, ich fand nichts.

Wenn es absicht wäre, dann wäre ein warnhinweis irgendwo angebracht. Die aktivierung des fernzugriffs von aussen, so ein sicheres passwort für den admin gesetzt ist, stellt ja normalerweise kein sicherheitsrisiko dar.

Aber ohne passwort - das ist ungut.

Dieser user mit leerem benutzernamen und passwort, dem kann man jedoch ein passwort geben (nachdem man sich ohne passwort angemeldet hat), dann kann man sich nicht mehr ohne passwort anmelden - das ist ok, nur, es wäre besser, wenn hier standardmäßig der zugriff nur erlaubt ist, so ein passwort gesetzt ist, oder eben irgendeinen hinweis, dass, so man den remote-zugriff aktiviert, es eben noch einen benutzer ohne benutzernahmen gibt, der ohne passwort zugriff hat.


Vielleicht bin ich auch blind, Weiss hier jemand etwas näheres ?

Auf jeden fall empfehle ich jedem, der einen 3200 hat, dies mal nachzukontrollieren.
nobody
Hardcore-Poster
 
Beiträge: 1342
Registriert: So 19.09.2004 - 16:45

Re: absicht - oder super-bug ?

Beitragvon nobody » Do 14.06.2012 - 18:47

Followup: dies betrifft nicht nur den 3200, auch andere router der generation <= 1 jahr.

Die Fa. Draytek scheint kenntnis zu haben von diesem verhalten, und, hat dies wohl auch schon bei z.B. 2850 nachgebessert.

Aber, eben nicht bei dem 3200.

Unverstaendlich, denn das ist ein echtes Sicherheitsrisiko, und, der 3200 ist kein spielzeug.

Mag sein, dass wenn man einen Kurs von Draytek besuchen wuerde, dass man dann darauf hingewiesen wuerde - in schoener tradition dazu, dass kurse dazu da sind, dass man gegen geld die bugs/probleme der produkte gesagt bekommt.

Aber, das ist IMHO eher ein beispiel fuer ein verhalten, das von sorglosigkeit und unverstaendnis bezueglich sicherheit gepraegt ist.
Selbst, wenn man nur vom internen netz auf den router zugreifen kann ohne eine authentifizierung ist dies schon ein super-risiko.
nobody
Hardcore-Poster
 
Beiträge: 1342
Registriert: So 19.09.2004 - 16:45


Zurück zu DrayTek Vigor 3200 Serie

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

cron