Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Fabian A. Scherschel 354

Großstörung bei der Telekom: Angreifer nutzten Lücke und Botnetz-Code

Details zur Großstörung bei der Telekom: Angreifer nutzten Lücke und Botnetz-Code

Einen Tag nachdem bekannt wurde, dass die großflächige Störung bei der Telekom auf einen – größtenteils missglückten – Hackerangriff zurückzuführen ist, wird klarer, was passiert ist. Die Angreifer zielten mit Botnetz-Code auf eine Sicherheitslücke.

Mittlerweile lässt sich recht gut rekonstruieren, wie es zu der Großstörung bei der Telekom gekommen ist. Eine Anfang des Monats entdeckte Sicherheitslücke wurde von unbekannten Angreifern ausgenutzt, in dem sie einen fertigen Exploit mit Code des quelloffenen Botnetz-Schadcodes Mirai kombinierten. Ihr Angriff auf verwundbare Router ging offensichtlich in die Hose und führte nicht zu zombifizierten Telekom-Routern sondern zum Verlust von Internet, VoIP und Fernsehen bei den betroffenen Endkunden. Es sieht so aus als verschluckten die Router sich an fehlerhaftem Schadcode.

Hackerangriff auf Telekom-Router

Deutsche Telekom

Die Angriffe gehen weiter

Da der Schadcode nur im Arbeitsspeicher der betroffenen Geräte abgelegt wird, entfernt ein Neustart eines betroffenen Routers die Infektion. Da das Gerät trotzdem prompt wieder infiziert würde, hat die Telekom mittlerweile in ihrem Netz Traffic für den verantwortlichen Port 7547 komplett trockengelegt. In Tests konnte heise Security bestätigen, dass Geräte mit öffentlich erreichbarem Port 7547 momentan innerhalb von Sekunden mit Paketen beschossen werden, die auf die Sicherheitslücke abzielen, mit der auch die Telekom zu kämpfen hatte. Wenn Sie prüfen wollen, ob Ihr Router für diese Angreifer erreichbar ist, besuchen Sie bitte den TR-069-Test von heise Security.

Die zugrundeliegende Sicherheitslücke wurde am 7. November in DSL-Routern des irischen Providers Eir entdeckt. Diese öffnen, ähnlich wie auch die betroffenen Speedport-Modelle der Telekom, den Port 7547 für Traffic aus dem öffentlichen Netz. Der Port ist Teil des Fernwartungsprotokolls TR-069 wird aber auch für das verwandte Protokoll TR-064 verwendet – und genau hier liegt die Schwachstelle. TR-064 sollte eigentlich nur aus dem lokalen Netz erreichbar sein. Das sagt schon der Name der Funktion des Protokolls: LAN-Side CPE Configuration. Über diese SOAP-Schnittstelle kann ein beliebiger Client im Netz mit POST-Requests die DNS- und NTP-Konfiguration der Geräte ändern – und das ohne jegliche Authentifizierung.

Problem war abzusehen

Das alleine ist schon schlimm genug, aber die Eir- und Telekom-Router haben noch ein weit gravierenderes Problem, da sie einen Firmware-Bug haben, der es erlaubt, über diese Schnittstelle Schadcode einzuschießen und den Router zu übernehmen. Das hat im Telekom-Fall wohl nicht funktioniert, die Lücke klaffte aber wohl schon länger in der Firmware. Der Entdecker dieses Problems hat am 7. November einen Exploit für das beliebte Metasploit-Framework bereitgestellt, welchen der Angreifer dann wohl in eine abgewandelte Version des Mirai-Wurmes integriert hat. Seit dem 7. November lief also die Uhr für die Telekom.

Zwar hat der Anbieter mittlerweile Updates veröffentlicht. Warum der Konfigurations-Port für TR-069 und TR-064 im Netz des Bonner Providers aber überhaupt öffentlich ansprechbar war, ist nach wie vor fragwürdig. Eigentlich hätten die Verantwortlichen wissen müssen, dass dies irgendwann zu Problemen führt. Selbst ohne die Firmware-Lücken hätten Angreifer dies nutzen können, um die DNS-Einstellungen von Routern zu manipulieren.

(fab)

354 Kommentare

Themen:

Anzeige
  1. Großstörung bei der Telekom: Was wirklich geschah

    Telekom-Router-Ausfall: Speedports nicht anfällig für TR-069-Exploit

    Ein Sicherheitsexperte hat die Reaktion eines der anfälligen Speedport-Modelle analysiert und kommt zu einer überraschenden Erkenntnis: Die Geräte waren gar nicht anfällig für die TR-069-Sicherheitslücke.

  2. Magenta Security Kongress: Software-Update gegen Telekom-Großstörung im Eiltempo, kein Router gekapert

    Magenta Security Kongress: Software-Update gegen Telekom-Großstörung im Eiltempo, kein Router gekapert

    Die Telekom ist bei dem Hackerangriff auf Telekom-DSL-Router mit einem blauen Auge davon gekommen, erklärt das Unternehmen auf seinem Security-Kongress in Frankfurt. Bis alle Router ein Update bekommen, kann es zwei Tage dauern.

  3. Telekom-Störung: BSI warnt vor weltweitem Hackerangriff auf DSL-Modems

    Telekom - Netzwerkstecker

    Weltweit werden momentan Geräte auf Port 7547 angegriffen. Hacker versuchen offenbar, Router mit einer Schwachstelle im Fernwartungsprotokoll TR-069 in ein IoT-Botnetz einzureihen. Größtes Opfer sind momentan Kunden der Deutschen Telekom.

  4. Nach der Telekom-Großstörung: Mutmaßlicher Hacker wegen Angriff auf Deutsche Telekom festgenommen

    Mutmaßlicher Hacker nach Angriff auf Deutsche Telekom gefasst

    Dem Verhafteten wird Computersabotage vorgeworfen. Dafür droht ihm eine Freiheitsstrafe von 6 Monaten bis 10 Jahren. Dem BKA zufolge sollten während des Angriffs vor drei Monaten Telekom-Router Teil eines Botnetzes werden.

  1. Sicherheitslücken graphisch sichtbar machen

    Sicherheitslücken graphisch sichtbar machen

    Bonner Informatiker haben ein Analysetool entwickelt, mit dem sich Sicherheitslücken in Routern und Smart-Home-Geräten ermitteln lassen. Sie setzen dabei auf die graphische Darstellung von Maschinensprache.

  2. Tipps zur Intel-ME-Sicherheitslücke SA-00075

    PC mit Intel-Netzwerkchip

    Am 1. Mai hat Intel eine Sicherheitslücke in der ME-Firmware vieler Desktop-PCs, Notebooks und Server gemeldet: Was Sie jetzt tun sollten.

  3. Die Grundeinrichtung der Fritzbox leicht gemacht

    Die Grundeinrichtung einer Fritzbox

    Das Einrichten einer Fritzbox ist kein Hexenwerk. Dennoch bleiben einige Dinge übrig, die man nachträglich einstellen sollte. Das klappt auch ohne viel Fachwissen.

  1. Sicherheitslücke in HP-Druckern – Firmware-Updates stehen bereit

    Hewlett-Packard-Logo

    Unter Verwendung spezieller Malware können Angreifer aus der Ferne auf Drucker von HP zugreifen und dort unter anderem gerätespezifische Befehle ausführen. Der Hersteller hat Updates bereitgestellt und empfiehlt die umgehende Aktualisierung.

  2. Mini tritt bei der Dakar-Rallye 2018 mit Allrad- und Hinterradantrieb an

    Mini

    Am 6. Januar 2018 startet in Lima die 40. Rallye Dakar. Mini wird die Rallye erstmals mit zwei konzeptionell komplett unterschiedlichen Fahrzeugtypen bestreiten. Zum Allradler kommt ein Buggy mit Hinterradantrieb

Anzeige