Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
News

Die gleichzeitig beobachteten massiven Angriffe auf den Fernwartungs-Port TR-069 stehen einem direkten Zusammenhang mit dem Ausfall vieler DSL-Anschlüsse der Telekom.

Viele Experten gingen davon aus, dass eine fehlerhafte Infektionsroutine die Ursache war und dass die Geräte für den Angriff anfällig wären. Ralf-Philipp Weinmann kam zu der überraschenden Erkenntnis, dass der Grund ein ganz anderer war.

Im Minutentakt werden derzeit alle Systeme im Internet mit TR-069-Anfragen auf Port 7547 bombardiert. Dabei wird versucht eine Sicherheitslücke auszunutzen, die am 7. November 2016 ein Nutzer namens "kenzo2017" in einem Blog veröffentlichte. Die Lücke bezog sich damals auf den irischen Provider Eir und die, an die Kunden verteilten, Zyxel-Router. Durch einen Befehl zum Hinzufügen eines Zeit-Servers (NewNTPServer) lies sich deren Linux-Betriebssystem dazu bewegen, ein Programm auszuführen das zuvor heruntergeladen wurde. Die TR-069-Angriffe sind derzeit zurückzuführen auf ein Mirai-ähnliches Bot-Netz aus infizierten Linux-Routern dieses Providers.

Die Telekom verwendet allerdings Speedport-Router und keine Zyxel-Router. Die betroffenen Speedports basieren nichtmal auf Linux. Arcadyan, der taiwanische Hersteller setzt stattdessen auf ein eigenes Echtzeitbetriebssystem. Dieses soll gerüchteweise den Namen "SuperTask" tragen. Laut Weinmann ist die TR-069-Implementierung nicht für den NewNTPServer-Fehler anfällig. Als er einen Angriff auf sein Testgerät durchführte geschah gar nichts. Erst nach mehreren Versuchen stellte es alle Netzwerk-Aktivitäten ein und verweigerte den Dienst.

Genau das passierte am letzten Wochenende vielen hunderttausend Telekom-Kunden. Sie hatten kein Internet mehr, bis sie das Gerät neustarteten. Daraufhin funktionierte der Router kurzzeitig wieder. Weitere TR-069-Angriffe legten das Gerät allerdings erneut lahm. Die Telekom-Router hätten also garnicht durch so einen Angriff infiziert werden können, da die TR-069-Lücke gar nicht vorhanden war. Das Problem war lediglich ein Denial-of-Service. Dieser wurde durch massenhafte Anfragen ausgelöst.

Aus dem Internet heraus hätte der Fernwartungs-Port TR-069 garnicht erreichbar sein dürfen. Es lässt sich bei einem solchen selbstgestrickten Betriebssystem mit proprietärer TR-069-Implentierung davon ausgehen, dass es auch andere Sicherheitslücken aufweist, die sich missbrauchen lassen. Laut Weinmann habe er auch bereits weitere Fehler gefunden und der Telekom gemeldet.

Um herauszufinden ob Sie davon betroffen sind können sie den Netzwerk-Check von heise Security verwenden.

Wir beraten Sie bei weiterführenden Fragen gerne. Schreiben Sie uns eine Mail oder rufen Sie uns unter Tel.: 0511 / 288 25 90 an.

(ms, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE