Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
News Disclaimer
Großstörung bei der Telekom: Was wirklich geschah

06.12.2016

 zur Newsdatenbank home

Es stellte sich heraus, dass der Ausfall vieler DSL-Anschlüsse der Telekom im direkten Zusammenhang mit den gleichzeitig beobachteten, massiven Angriffen auf den Fernwartungs-Port TR-069 standen. Viele Experten gingen fälschlicherweise davon aus, dass die Geräte im Prinzip ebenfalls für diese Angriffe anfällig wären und die Ursache der Ausfälle eine fehlerhafte Infektionsroutine war. Allerdings kam Ralf-Philipp Weinmann zu der überraschenden Erkenntnis, dass die Ursache des Problems wo anders lag.

Alle Systeme im Internet werden derzeit im Minutentakt mit TR-069-Anfragen auf Port 7547 bombardiert. Diese versuchen, eine vom Nutzer namens "kenzo2017" am 7. November 2016 in einem Blog veröffentlichte Sicherheitslücke auszunutzen. Der irische Provider Eir verteilte an seine Kunden Zyxel-Router, auf die sich die Sicherheitslücke bezog. Durch einen Befehl zum Hinzufügen eines Zeit-Servers (NewNTPServer) ließ sich deren Linux-Betriebssystem dazu bewegen, ein Programm aus dem Internet herunterzuladen und auszuführen. Zum Großteil sind die derzeitigen TR-069-Angriffe auf ein Mirai-ähnliches Bot-Netz aus infizierten Linux-Routern dieses Providers zurückzuführen.

Bei den betroffenen Speedports der Telekom handelt es sich weder um Zyxel-Router, noch um Router mit Linux-Betriebssystem. Der taiwanische Hersteller Arcadyan setzt vielmehr ein eigenes Echtzeitbetriebssystem ein, das gerüchteweise den Namen "SuperTask" trägt. Weinmann fand heraus, das dessen TR-069-Implementierung auch nicht für den NewNTPServer-Fehler anfällig ist. In einem Test attackierte er sein Gerät mit diesem Angriff und es geschah gar nichts. Erst nach wiederholten Angriffen verweigerte das Gerät irgendwann den Dienst und stellte alle Netzwerk-Aktivitäten ein.

Und genau das wurde von vielen hunderttausend Telekom-Kunden am letzten Wochenende bei sich beobachtet. Nach einem Neustart des Routers funktionierte es kurzzeitig wieder, bis die regelmäßigen TR-069-Angriffe das Gerät erneut lahm legten. Eine Infektion gab es dabei nicht. Da die Telekom-Router die TR-069-Lücke gar nicht aufwiesen, hätten sie gar nicht infiziert werden können. Die Ursache ist also ein Denial-of-Service-Problem, das erst durch massenhafte Anfragen ausgelöst wurde.

Allerdings hätte der Fernwartungs-Port TR-069 der Telekom nicht offen aus dem Internet erreichbar sein dürfen. Gerade bei einem selbstentwickelten Betriebssystem mit proprietärer TR-069-Implentierung kann davon ausgegangen werden, dass es andere Sicherheitslücken aufweist, die sich missbrauchen lassen. Weitere Fehler habe Weinmann bereits gefunden und der Telekom gemeldet.

Um herauszufinden ob Sie davon betroffen sind können sie den Netzwerk-Check von heise Security verwenden.

Wir beraten Sie bei weiterführenden Fragen gerne. Schreiben Sie uns eine Mail oder rufen Sie uns unter Tel.: 0511 / 288 25 90 an.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89