Die gleichzeitig beobachteten massiven Angriffe auf den Fernwartungs-Port
TR-069 stehen einem direkten Zusammenhang mit dem Ausfall vieler
DSL-Anschlüsse der Telekom.
Viele Experten gingen davon aus, dass eine fehlerhafte Infektionsroutine
die Ursache war und dass die Geräte für den Angriff anfällig
wären. Ralf-Philipp Weinmann kam zu der überraschenden
Erkenntnis, dass der Grund ein ganz anderer war.
Im Minutentakt werden derzeit alle Systeme im Internet mit TR-069-Anfragen
auf Port 7547 bombardiert. Dabei wird versucht eine Sicherheitslücke
auszunutzen, die am 7. November 2016 ein Nutzer namens "kenzo2017"
in einem Blog veröffentlichte. Die Lücke bezog sich damals
auf den irischen Provider Eir und die, an die Kunden verteilten,
Zyxel-Router. Durch einen Befehl zum Hinzufügen eines Zeit-Servers
(NewNTPServer) lies sich deren Linux-Betriebssystem dazu bewegen,
ein Programm auszuführen das zuvor heruntergeladen wurde. Die
TR-069-Angriffe sind derzeit zurückzuführen auf ein Mirai-ähnliches
Bot-Netz aus infizierten Linux-Routern dieses Providers.
Die Telekom verwendet allerdings Speedport-Router und keine Zyxel-Router.
Die betroffenen Speedports basieren nichtmal auf Linux. Arcadyan,
der taiwanische Hersteller setzt stattdessen auf ein eigenes Echtzeitbetriebssystem.
Dieses soll gerüchteweise den Namen "SuperTask" tragen.
Laut
Weinmann ist die TR-069-Implementierung nicht für den NewNTPServer-Fehler
anfällig. Als er einen Angriff auf sein Testgerät durchführte
geschah gar nichts. Erst nach mehreren Versuchen stellte es alle
Netzwerk-Aktivitäten ein und verweigerte den Dienst.
Genau das passierte am letzten Wochenende vielen hunderttausend
Telekom-Kunden. Sie hatten kein Internet mehr, bis sie das Gerät
neustarteten. Daraufhin funktionierte der Router kurzzeitig wieder.
Weitere TR-069-Angriffe legten das Gerät allerdings erneut
lahm. Die Telekom-Router hätten also garnicht durch so einen
Angriff infiziert werden können, da die TR-069-Lücke gar
nicht vorhanden war. Das Problem war lediglich ein Denial-of-Service.
Dieser wurde durch massenhafte Anfragen ausgelöst.
Aus dem Internet heraus hätte der Fernwartungs-Port TR-069
garnicht erreichbar sein dürfen. Es lässt sich bei einem
solchen selbstgestrickten Betriebssystem mit proprietärer TR-069-Implentierung
davon ausgehen, dass es auch andere Sicherheitslücken aufweist,
die sich missbrauchen lassen. Laut Weinmann habe er auch bereits
weitere Fehler gefunden und der Telekom gemeldet.
Um herauszufinden ob Sie davon betroffen sind können sie den
Netzwerk-Check
von heise Security verwenden.
Wir beraten Sie bei weiterführenden Fragen gerne. Schreiben
Sie uns eine Mail oder rufen Sie
uns unter Tel.: 0511 / 288 25 90 an.
(ms, hannover)
(siehe auch heise-News-Ticker:)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|