Großstörung bei der Telekom: Was wirklich geschah

http://m.heise.de/newsticker/meldung/Grossstoerung-bei-der-Telekom-Was-wirklich-geschah-3520212.html
Mittwoch, 14:12

Jürgen Schmidt

Telekom-Router-Ausfall: Speedports nicht anfällig für TR-069-Exploit

Der geöffnete Speedport W921V

Bild: Comsecuris, Ralf-Philipp Weinmann

Ein Sicherheitsexperte hat die Reaktion eines der anfälligen Speedport-Modelle analysiert und kommt zu einer überraschenden Erkenntnis: Die Geräte waren gar nicht anfällig für die TR-069-Sicherheitslücke.
Direkt nach dem Ausfall vieler DSL-Anschlüsse stellte sich heraus, dass diese in direktem Zusammenhang mit den gleichzeitig beobachteten, massiven Angriffen auf den Fernwartungs-Port TR-069 standen. Viele Experten – und auch heise Security – gingen davon aus, dass die Geräte im Prinzip ebenfalls für diese Angriffe anfällig wären und die Ursache der Ausfälle eine fehlerhafte Infektionsroutine war. Ralf-Philipp Weinmann ging der Sache auf den Grund und kam zu der überraschenden Erkenntnis, dass das Problem ganz anders lag.
Hackerangriff auf Telekom-Router
heise Security bietet TR069-Test

Kommentar: Tauscht marode Plasterouter endlich aus!

Telekom-Chef: Aufruf zu den Cyber-Waffen

Schneier: „Die Ära von Spaß und Spielen ist vorbei“

Großstörung bei der Telekom: Was wirklich geschah

Angreifer nutzten Lücke und Botnetz-Code

BSI warnt vor weltweitem Hackerangriff auf DSL-Modems

Die Telekom prüft Hinweise auf Hackerangriff

Derzeit werden alle Systeme im Internet im Minutentakt mit TR-069-Anfragen auf Port 7547 bombardiert. Diese versuchen, eine Sicherheitslücke auszunutzen, die ein Nutzer namens „kenzo2017“ am 7. November 2016 in einem Blog veröffentlichte. Sie bezog sich auf Zyxel-Router, die der irische Provider Eir an seine Kunden verteilte. Deren Linux-Betriebssystem ließ sich durch einen Befehl zum Hinzufügen eines Zeit-Servers (NewNTPServer) dazu bewegen, ein Programm aus dem Internet herunterzuladen und auszuführen. Die derzeit grassierenden TR-069-Angriffe sind zum Großteil auf ein Mirai-ähnliches Bot-Netz aus infizierten Linux-Routern dieses Providers zurückzuführen.
Speedport ohne Linux
Nun handelt es sich bei den betroffenen Speedports der Telekom nicht um Zyxel-Router, ja nicht einmal um Router auf Linux-Basis. Vielmehr setzt der taiwanische Hersteller Arcadyan ein eigenes Echtzeitbetriebssystem ein, das gerüchteweise den Namen „SuperTask“ trägt. Und dessen TR-069-Implementierung ist auch nicht für den NewNTPServer-Fehler anfällig, wie Weinmann herausfand. Als er sein Testgerät mit diesem Angriff attackierte, geschah – gar nichts. Erst als Weinmann das Gerät wiederholten Angriffen aussetzte, verweigerte es irgendwann den Dienst und stellte alle Netzwerk-Aktivitäten ein.
Das ist genau das, was viele hunderttausend Telekom-Kunden am letzten Wochenende bei sich beobachteten: Sie hatten kein Internet mehr und nach einem Neustart des Routers funktionierte es kurzzeitig wieder – bis die regelmäßigen TR-069-Angriffe das Gerät erneut lahm legten. Eine wie auch immer geartete Infektion gab es dabei nicht. Die Angriffe hätten also die Telekom-Router gar nicht infizieren können, weil diese die TR-069-Lücke gar nicht aufwiesen. Es handelt sich lediglich um ein Denial-of-Service-Problem, das erst durch massenhafte Anfragen ausgelöst wurde.
Versäumnis der Telekom
Fehler kann man der Telekom natürlich trotzdem vorwerfen: Der Fernwartungs-Port TR-069 hätte nicht offen aus dem Internet erreichbar sein dürfen. Auch wenn die Router für die aktuellen Angriffe nicht anfällig waren, kann man gerade bei einem solchen selbstgestrickten Betriebssystem mit proprietärer TR-069-Implentierung getrost davon ausgehen, dass es andere Sicherheitslücken aufweist, die sich missbrauchen lassen. Weinmann deutet auch bereits an, weitere Fehler gefunden und der Telekom gemeldet zu haben.
Ob Ihr Router von außen für TR069-Anfragen erreichbar ist, verrät Ihnen der
Netzwerk-Check von heise Security

(ju) 

Themen:
Router

Deutsche Telekom

DSL

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s