Großstörung bei der Telekom: Angreifer nutzten Lücke und Botnetz-Code
Einen Tag nachdem bekannt wurde, dass die großflächige Störung bei der Telekom auf einen – größtenteils missglückten – Hackerangriff zurückzuführen ist, wird klarer, was passiert ist. Die Angreifer zielten mit Botnetz-Code auf eine Sicherheitslücke.
- Fabian A. Scherschel
Mittlerweile lässt sich recht gut rekonstruieren, wie es zu der Großstörung bei der Telekom gekommen ist. Eine Anfang des Monats entdeckte Sicherheitslücke wurde von unbekannten Angreifern ausgenutzt, in dem sie einen fertigen Exploit mit Code des quelloffenen Botnetz-Schadcodes Mirai kombinierten. Ihr Angriff auf verwundbare Router ging offensichtlich in die Hose und führte nicht zu zombifizierten Telekom-Routern sondern zum Verlust von Internet, VoIP und Fernsehen bei den betroffenen Endkunden. Es sieht so aus als verschluckten die Router sich an fehlerhaftem Schadcode.
Die Angriffe gehen weiter
Da der Schadcode nur im Arbeitsspeicher der betroffenen Geräte abgelegt wird, entfernt ein Neustart eines betroffenen Routers die Infektion. Da das Gerät trotzdem prompt wieder infiziert würde, hat die Telekom mittlerweile in ihrem Netz Traffic für den verantwortlichen Port 7547 komplett trockengelegt. In Tests konnte heise Security bestätigen, dass Geräte mit öffentlich erreichbarem Port 7547 momentan innerhalb von Sekunden mit Paketen beschossen werden, die auf die Sicherheitslücke abzielen, mit der auch die Telekom zu kämpfen hatte. Wenn Sie prüfen wollen, ob Ihr Router für diese Angreifer erreichbar ist, besuchen Sie bitte den TR-069-Test von heise Security.
Die zugrundeliegende Sicherheitslücke wurde am 7. November in DSL-Routern des irischen Providers Eir entdeckt. Diese öffnen, ähnlich wie auch die betroffenen Speedport-Modelle der Telekom, den Port 7547 für Traffic aus dem öffentlichen Netz. Der Port ist Teil des Fernwartungsprotokolls TR-069 wird aber auch für das verwandte Protokoll TR-064 verwendet – und genau hier liegt die Schwachstelle. TR-064 sollte eigentlich nur aus dem lokalen Netz erreichbar sein. Das sagt schon der Name der Funktion des Protokolls: LAN-Side CPE Configuration. Über diese SOAP-Schnittstelle kann ein beliebiger Client im Netz mit POST-Requests die DNS- und NTP-Konfiguration der Geräte ändern – und das ohne jegliche Authentifizierung.
Problem war abzusehen
Das alleine ist schon schlimm genug, aber die Eir- und Telekom-Router haben noch ein weit gravierenderes Problem, da sie einen Firmware-Bug haben, der es erlaubt, über diese Schnittstelle Schadcode einzuschießen und den Router zu übernehmen. Das hat im Telekom-Fall wohl nicht funktioniert, die Lücke klaffte aber wohl schon länger in der Firmware. Der Entdecker dieses Problems hat am 7. November einen Exploit für das beliebte Metasploit-Framework bereitgestellt, welchen der Angreifer dann wohl in eine abgewandelte Version des Mirai-Wurmes integriert hat. Seit dem 7. November lief also die Uhr für die Telekom.
Zwar hat der Anbieter mittlerweile Updates veröffentlicht. Warum der Konfigurations-Port für TR-069 und TR-064 im Netz des Bonner Providers aber überhaupt öffentlich ansprechbar war, ist nach wie vor fragwürdig. Eigentlich hätten die Verantwortlichen wissen müssen, dass dies irgendwann zu Problemen führt. Selbst ohne die Firmware-Lücken hätten Angreifer dies nutzen können, um die DNS-Einstellungen von Routern zu manipulieren.
(fab)