TR-069-Fernwartungslücke bei DSL-Routern: Deutsche Internetanbieter bezeichnen ihre Netze als sicher
Gegenüber heise Netze haben deutsche Internet-Anbieter erklärt, ihre Kunden seien nicht von den Sicherheitslücken in TR-069 betroffen. Zuvor hatte ein Forscher kritische Schwachstellen bei nahöstlichen Providern gefunden.
Heise Netze hat bei führenden deutschen Internet-Anbietern nachgefragt, auf welche Weise sie Router ihrer Kunden vor Angriffen über das DSL-Fernwartungsprotokoll TR-069 schützen. Shahar Tal von CheckPoint Software hatte in Server-Software, die weltweit von Providern zur Fernkonfiguration von DSL-Routern verwendet wird, mehrere Schwachstellen entdeckt.
Die Deutsche Telekom, Vodafone, Telefonica, 1&1, UnityMedia KabelBW, M-net, EWE-TEL und Tele Columbus halten ihre Netze für sicher. HTP wollte aus Sicherheitsgründen keine Auskunft geben; eine Antwort von Kabel Deutschland steht noch aus. Durch gezielte Maßnahmen wollen die Anbieter verhindern, dass Hacker die für TR-069 zuständigen Fernwartungsserver angreifen und darüber auf die Router von Endkunden zugreifen.
Per TR-069 können Internet-Anbieter die Router ihrer Kunden aus der Ferne konfigurieren und warten. Zum Schutz vor Übergriffen verweigern die Endgeräte der meisten Anbieter alle Verbindungen von Fernwartungs-Servern mit selbstsignierten Zertifikaten. Andere Router verifizieren den Hostnamen der Server. Geräte der Telekom greifen nur auf den darin voreingestellten Fernwartungs-Server zu. Zudem lässt sich TR-069 bei den Routern der Telekom, von 1&1 und bei EWE-TEL über das Web-Interface abschalten.
Abgesehen von M-net, Kabel Deutschland (KDG) und regional auch HTP können Kunden auch eigene Router mit abschaltbarer Fernwartung einsetzen. Kunden von Providern mit Zwangs-Router können an diesen einen weiteren, eigenen Router hängen. Telecolumbus gab an, das Fernwartungsprotokoll überhaupt nicht zu verwenden. Da die Anbieter per TR-069 aus der Ferne auch Fehlkonfigurationen korrigieren und Firmware-Updates einspielen können, raten die Anbieter ihren Kunden trotz jüngster Meldungen zu den potenziellen Problemen davon ab, die Funktion zu deaktivieren.
Diese Einschätzung passt zu Aussagen der Herstellers AVM, dessen weit verbreitete Fritzbox-Router ebenfalls TR-069 beherrschen. Gegenüber heise Netze erklärte ein Sprecher der Berliner Firma, dass von den TR-069-Lücken keine unmittelbare Gefahr für die Nutzer ausgehe, da die Schwachstellen vor allem die Fernwartungsserver betreffen sollen. Diese seien in Deutschland jedoch laut AVM gut geschützt.
Anatomie einer Sicherheitslücke
(Bild: Shahar Tal)
Shahar Tal hatte die Sicherheitslücken von TR-069 aufgedeckt und seine Ergebnisse jüngst auf der Hacker-Konferenz DEF CON 22 in Las Vegas präsentiert. Dabei beschrieb er, wie sich Hacker den Zugriff auf sogenannte Auto Configuration Server (ACS) verschaffen und darüber Router manipulieren können. Hat ein Hacker einen ACS gekapert, könnte er die Nutzer der daran angeschlossenen Router über veränderte DNS-Einträge auf Websites mit Schadcode umleiten oder die Router-Konfiguration auslesen.
Tal zufolge sind einige vom ihm untersuchte Internet-Provider auf diesem Weg verwundbar, da sie den von TR-069 vorgesehenen Standardport 7547 für den Connection Request verwenden. Hierbei fordert ein Router eine Verbindung mit dem Fernwartungsserver an, um dann etwa eine Konfiguration entgegenzunehmen.
Wie der Forscher berichtete, genügt bereits ein einfacher Portscan mit der Computer-Suchmaschine Shodan, um solche Konfigurationen aufzuspüren. Zudem steht die Integrität der Verbindung auf dem Spiel, wenn sie nicht per SSL verschlüsselt wird oder Router auch selbstsignierte Zertifikate annehmen. Über diese Angriffspunkte können sich Hacker mit den Routern verbinden und diesen vorgaukeln, der Netzanbieter zu sein. Ein selbstsigniertes Zertifikat kann dafür sorgen, dass der Router den Betrug nicht bemerkt (Man-in-the-Middle Attack).
Einige Provider verwenden auf ihren Servern darüber hinaus die quelloffenen Software-Pakete OpenACS und GenieACS. Diese weisen laut Shahar Tal ebenfalls eklatante Sicherheitslücken auf. So können Angreifer auf den zentralen Servern beliebigen Code ausführen, sobald sie Zugang erlangt haben und die Schwachstellen ausnutzen.
In einem Beispiel gelang es Shahar Tal, den ACS eines irakischen Internet-Providers zu knacken. Dazu genügten bereits Scans nach dem TR-069-Standardport. Bei diesem handelt es sich dem Sicherheitsforscher zufolge um den am zweithäufigsten offenen Port im Internet. Auf dem Server lief die quelloffene ACS-Software GenieACS, über den Tal rund 7000 Router von Kunden einsehen konnte.
Die Sicherheitslücken in OpenACS und GenieACS sollen schon seit zwei Jahren bekannt sein. Auch bei kommerziellen Anbietern soll es Angriffspunkte geben: In seinen Ausführungen erklärte Tal, eine weltweit eingesetzte kommerzielle Software sei ebenfalls verwundbar. Um welches Produkt es sich dabei genau handelt, verriet er nicht.
Aufgrund der Brisanz seiner Entdeckung rät der Sicherheitsforscher allen Nutzern, dafür zu sorgen, dass die SSL-Verschlüsselung korrekt funktioniert. Seiner Ansicht nach könne man die Fernwartung aus Sicherheitsgründen auch abschalten – womit man allerdings wieder die volle Verantwortung zur Wartung des eigenen Routers trägt.
Schutzmaßnahmen der Anbieter
| Anbieter: | Telekom |
Voda- fone |
Telefonica | 1&1 | KDG |
Kabel- BW |
EWE-TEL | M-net |
| TR-069 abschaltbar | v | - |
- (nur bei O2- Fritzboxen) |
v | - | - | v | - |
|
ACS-Standard- port 7547 |
v | - | - | - | v | k. A. | - | - |
| Dynamischer Portwechsel für TR-069 | - | v | - | - | - | k. A. | - | v |
| SSL / TLS gesichertes TR-069 | v | v | v | v | - | v | - | v |
| Root-Zertifikat des den ACS beglaubigenden Servers im Router hinterlegt | v | v | v | gemäß TR-069 | - | k. A. |
k. A. |
v |
| Hostname Verification |
vor- einge- stellter ACS |
v | v | gemäß TR-069 |
k. A. |
k. A. | k. A. | v |
| Aktualisierung der Zertifikate | v |
k. A. |
v | gemäß TR-069 | v | k. A. |
k. A. |
v |
| Internet mit eigenem Router ohne TR-069 nutzbar | v | v | v (kein VoIP) | v | v | v |
v (kein VoIP ohne erste Auto- provisio- nierung) |
- |
|
Verwendete ACS- Software |
k. A. |
k. A. |
k. A. |
k. A. |
k. A. |
Axiros |
Axiros |
Axiros |
Deutsche Anbieter setzen TR-069 nach sehr unterschiedlichen Methoden ein. Die folgende Tabelle führt auf, welche Sicherheitsvorkehrungen die Provider treffen und welche Handlungsoptionen den Endkunden bleiben.
Siehe auch:
- Def Con 22: Millionen DSL-Router durch TR-069-Fernwartung kompromittierbar
- heise Netze: DSL fernkonfiguriert
[Update: 22.08.2014, 15:50 Uhr: Mittlerweile liegt heise Netze auch eine Stellungnahme von Kabel Deutschland vor. Demnach verwendet der Anbieter zur Fernwartung nicht TR-069, sondern EuroDOCSIS und Euro Packet Cable. Bei Mietgeräten lässt sich die Fernwartung nicht abschalten. Bei gekauften Routern kann der Anbieter das jedoch nicht mit Sicherheit ausschließen.
Kabel Deutschland verzichtet bei der Fernwartung auf eine Verschlüsselung per SSL oder TLS, da der ACS-Server im geschützten Backbone des Netzes liege und die Strecke bis zum Endkundengerät über DOCSIS verschlüsselt sei.
Unklar ist darüber hinaus, ob TR-069 bei Fritzbox-Routern von AVM generell abgeschaltet werden kann. So bietet das Web-Interface lediglich an, TR-064 zu deaktivieren – dieses Protokoll dient zur Konfiguration aus dem heimischen Netzwerk. Eine definitive Aussage zu TR-069 seitens AVM steht noch aus.
Bei AVM-Routern von M-Net kann man TR-064 durchaus deaktivieren, obwohl der Anbieter heise Netze gegenüber erklärt hat, die Fernwartung sei nicht abschaltbar.
Zudem legen heise Netze vorliegende vertrauliche Informationen nahe, dass mindestens ein nicht in der Tabelle genannter deutscher Internet-Anbieter die Software OpenACS verwendet.] (fkn)
