> > > > Was hinter dem vermeintlichen Angriff und Routerausfall bei der Deutschen Telekom steckt

Was hinter dem vermeintlichen Angriff und Routerausfall bei der Deutschen Telekom steckt

DruckenE-Mail
Erstellt am: von

telekom2Am Montag kam es zu einem großflächigen Ausfall von Internet, Telefonie und IPTV an rund 900.000 Anschlüssen der Deutschen Telekom. Die Gründe für den Ausfall blieben lange im Dunkeln, nach DNS-Problemen spielte die Deutsche Telekom aber ein Firmware-Update für betroffenen Router ein, welches das Problem beseitigen konnte. Dennoch blieb die Frage, was genau zum Ausfall geführt hatte, denn schnell war die Rede von einem Hackerangriff, der eine bereits seit Jahren offene Sicherheitslücke ausgenutzt haben soll. Selbst die Tagesthemen und die Heute-Sendungen beschäftigten sich mit dem Thema, was seine Relevanz noch einmal unterstreichen soll.

Nun konnten zumindest einige Fragen geklärt werden. So handelte es sich wirklich um einen Angriff auf den Fernwartungsport TR-069. Das Ziel war allerdings nicht, die Infrastruktur als solche lahmzulegen, sondern über diesen Fernwartungsport an weitere Geräte im Netz der Kunden zu gelangen. Aufgrund einer fehlerhaften Infektionsroutine ist es dazu aber gar nicht erst gekommen. Das Problem und die Ausfälle sind demnach etwas anders gelagert, als dies zunächst den Eindruck machte.

Geplant war offenbar das Ausnutzen einer Sicherheitslücke, die über TR-069-Anfragen auf Port 7547 dem Betriebssystem des Routers Befehle für den Zeit-Server übergeben sollte. Das sollte wiederum dazu führen, dass Schadcode heruntergeladen werden kann. Kommt es aber zu häufigen TR-069-Anfragen auf Port 7547, verweigern einige Geräte einfach ihren Dienst und schalten die Netzwerkdienste ab. Dies ist mit einigen Speedport-Modellen der Deutschen Telekom geschehen, während andere Router-Modelle die häufigen Anfragen einfach ignorieren. Im Grunde hat es sich also um eine klassischen DDoS-Attacke gehandelt, bei der häufige Anfragen unterschiedlichster Art auf einen Dienst im Netz einwirken. In diesem Fall waren es die TR-069-Anfragen auf Port 7547, die von bestimmten Routern nicht richtig verarbeitet werden und die daraufhin ihren Dienst einstellen.

Weiterhin ist das Netz voll solcher Anfragen, die von anderen und anderweitig infizierten Routern gesendet werden. Die Firmware-Updates der Telekom verhindern nun aber ein Abstürzen der Software. Wichtig aber ist festzuhalten, dass keinerlei Router über TR-069-Anfragen infiziert wurden, sondern eine Infizierung noch gar nicht stattfinden konnte, da die fehlerhafte Infektionsroutine die angegriffene Hardware zum Absturz bringt.

Deutsche Telekom reagierte nur

Auch wenn die Deutsche Telekom nun davon sprechen kann, dass ihre Router nicht durch eine Sicherheitslücke infiziert wurden, gibt es dennoch Versäumnisse auf Seiten des Konzerns. Die Router hätten gar nicht über den Fernwartungsport erreichbar sein dürfen. Es gab bereits Angriffvektoren auf diesem Port, die hätten funktionieren können, doch so weit sind die Angreifer diesmal offenbar nicht gekommen. Wenn der Deutschen Telekom also seit 2014 bekannt gewesen sein sollte, dass es über den Fernwartungsport theoretisch eine Angriffsmöglichkeit gibt, dann hätte man diese Lücke längst schließen können.

Einmal mehr zeigt sich an dieser Stelle auch, dass die freie Routerwahl dem Kunden nicht nur eine Wahl lässt, sondern dieser damit auch entscheidend dazu beitragen kann, dass die eigenen Systeme sicherer sind. Zuletzt veröffentlichte allerdings auch AVM einen Krypto-Schlüssel in seiner Firmware, der so in dieser Form hätte dort nicht vorhanden sein müssen. Auf Seiten von AVM reagierte man aber sehr schnell und war bereits dabei, die Firmware der Geräte auszutauschen. Bei der Deutschen Telekom wurde erst nach Bekanntwerden der Vorfälle reagiert.

Social Links

Ihre Bewertung

Ø Bewertungen: 3

Tags

Kommentare (10)

#1
customavatars/avatar64442_1.gif
Registriert seit: 22.05.2007
Asgard und Berlin
Der Dahar-Meister!
Beiträge: 1965
Das ist doch quatsch. Hier steht die Wahrheit

https://www.heise.de/newsticker/meldung/Grossstoerung-bei-der-Telekom-Was-wirklich-geschah-3520212.html



Somit hat die Telekom mal wieder alle hinter das Licht geführt.
#2
Registriert seit: 27.11.2016

Matrose
Beiträge: 13
Vielen Dank für den interessanten Artikel Wotan, ich sollte wieder mehr heise statt nur golem lesen ;) was für mich aber im Grunde bedeutet: Telekoms Aussage war ja dass der Angriff schlecht gewesen wäre und deshalb nicht den maximalen Schaden erzielt hätte. Wenn man dies im Zusammenhang mit diesem Artikel sieht bedeutet das aber für mich dass es sehr wohl eine Sicherheitslücke gibt, die man ausnutzen könnte, es aber noch nicht getan hat. Die Telekom weiß anscheinend sehr gut darüber Bescheid scheint aber hier die Tatsachen nicht offen zu legen. Mal sehen welche Hacker sich durch diesen Angriff inspiriert fühlen am TR-069 weiter zu hacken. Daher ja auch die Aussage man könne in Zukunft diese Angriffe nicht verhindern. Ich bleibe also gespannt


Gesendet von iPhone mit Tapatalk
#3
customavatars/avatar64442_1.gif
Registriert seit: 22.05.2007
Asgard und Berlin
Der Dahar-Meister!
Beiträge: 1965
Es war ein Denial-of-Service-Problem
#4
customavatars/avatar30619_1.gif
Registriert seit: 02.12.2005

Vizeadmiral
Beiträge: 7760
Heise weiß nicht einmal, was TR-069 ist und wie es funktioniert, aber das ist "die Wahrheit"?

Lesen, wer Bock hat:
https://www.broadband-forum.org/technical/download/TR-069.pdf

Achtung, sehr technisch.
#5
customavatars/avatar283_1.gif
Registriert seit: 03.07.2001
127.0.0.1
Admiral
Altweintrinker
Beiträge: 25267
Wissen sie nicht?
https://www.heise.de/ct/artikel/DSL-fernkonfiguriert-221789.html

Davon ab, berichtet heise dort lediglich über Erkenntnisse von Ralf-Philipp Weinmann. Das Fachwissen von heise selbst spielt bei der Meldung also gar keine Rolle.

Zitat
Das Ziel war allerdings nicht, die Infrastruktur als solche lahmzulegen, sondern über diesen Fernwartungsport an weitere Geräte im Netz der Kunden zu gelangen.

Quelle/Beleg für diese Aussage?
Ziel waren doch scheinbar die Router selbst, nicht das, was dahinter liegt.

Zitat
Aufgrund einer fehlerhaften Infektionsroutine ist es dazu aber gar nicht erst gekommen.

Jain, die Arcadyan Geräte waren für die Lücke gar nicht anfällig.
Es schoss scheinbar "nur" den DNS-forwarder ab.
Wobei ihr das im nächsten Abschnitt ja selbst beschreibt. Wieso dann fehlerhafte Infektionsroutine, wenn das Gerät eh nicht anfällig war?

Zitat
sondern eine Infizierung noch gar nicht stattfinden konnte, da die fehlerhafte Infektionsroutine die angegriffene Hardware zum Absturz bringt.

Die Arcadyan Geräte wären auch bei "korrekter" Infektionsroutine abgestürzt und nicht infiziert geworden.
Wie schon gesagt, sind sie für diese Art der Lücke scheinbar nicht anfällig. (Aber wohl für andere :o) )

Zitat
Wenn der Deutschen Telekom also seit 2014 bekannt gewesen sein sollte, dass es über den Fernwartungsport theoretisch eine Angriffsmöglichkeit gibt, dann hätte man diese Lücke längst schließen können.

Die Telekom erklärte damals, dass ihre Netze sicher seien. Auch wurde "EasySupport" (TR-069 Marketingsprech) in den eigenen Hilfeforen für sicher erklärt.

Siehe auch: https://www.heise.de/newsticker/meldung/TR-069-Fernwartungsluecke-bei-DSL-Routern-Deutsche-Internetanbieter-bezeichnen-ihre-Netze-als-sicher-2299863.html

Läuft doch wie immer - negieren bis es knallt und dann, wie im jetzigen Fall, sogar noch als "Opfer" vor die Presse treten, obwohl man Mitschuld hat.
Wobei man die Angriffe auf den ACS und nun direkt auf die CPEs eigentlich getrennt betrachten muss, auch wenn der NTP Angriff mit dem damaligen Vortrag zu tun hat (wenn ich das noch richtig im Kopf habe).
#6
customavatars/avatar30619_1.gif
Registriert seit: 02.12.2005

Vizeadmiral
Beiträge: 7760
So wie ich das verstehe hat TR-069 keinen ständig offenen Port, an den man einfach so kommt, sondern die Initialisierung erfolgt immer von der Routerseite aus und setzt dann erst den Prozess in Gang. Wie man dann also jederzeit von außen Schadsoftware aufspielen will, erschließt sich mir so nicht. Also liest sich das hier, wie ein Problem mit TR-064.

Zitat Mr.Mito;25111067


Davon ab, berichtet heise dort lediglich über Erkenntnisse von Ralf-Philipp Weinmann. Das Fachwissen von heise selbst spielt bei der Meldung also gar keine Rolle.


Also dürfen Gastautoren ungeprüft Beiträge bei Heise veröffentlichen und niemand liest sie durch, um deren Schlüssigkeit zu verifizieren? Interessant.
Merke ich mir für die nächste Lektüre.
#7
Registriert seit: 23.10.2005
Sachsen
Admiral
Beiträge: 10236
Zitat Krümelmonster;25111365
So wie ich das verstehe hat TR-069 keinen ständig offenen Port, an den man einfach so kommt, sondern die Initialisierung erfolgt immer von der Routerseite aus und setzt dann erst den Prozess in Gang. Wie man dann also jederzeit von außen Schadsoftware aufspielen will, erschließt sich mir so nicht. Also liest sich das hier, wie ein Problem mit TR-064.


Ausgehend von dem von dir verlinkten Whitepaper:

Zitat
The CPE MAY at any time initiate a connection to the ACS via a CWMP Endpoint using
the pre-determined ACS address (see Section 3.1). A CPE MUST establish a connection
to the ACS and issue the Inform RPC method (following the procedures described in
Section 3.7.1.1) under the following conditions:


Zitat
- Whenever the CPE receives a valid Connection Request from an ACS (see
Section 3.2.2)
- Whenever the URL of the ACS changes
#8
customavatars/avatar30619_1.gif
Registriert seit: 02.12.2005

Vizeadmiral
Beiträge: 7760
Das erklärt es aber nicht. Auch wenn man von außen den immediate request sendet, läuft das Ganze nicht ohne Anmeldung am ACS. "Einfach so" einen Download von Malware kann man nicht initiieren.
Das Problem dabei ist vermutlich eher, dass von außen auch TR-064 (oder ein Teil davon?) erreichbar (war).
#9
customavatars/avatar97341_1.gif
Registriert seit: 23.08.2008
Bitz
Anime und Hardware Otaku
Beiträge: 10922
Alles falsch :D

Die Mutter von Timotheus Höttges ist über das WLAN-Kabel gestolpert :fresse:
#10
customavatars/avatar2215_1.gif
Registriert seit: 02.07.2002
52.17081°N 8.35677°E
Flottillenadmiral
Beiträge: 5008
Tja echte Speedports taugen ebend nichts. Jene T-Kunden genau 2 die von mir eine Fritzbox bekamen hatten diese Probleme nicht.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Synology DS216j im Test

Logo von IMAGES/STORIES/REVIEW_TEASER/SYNOLOGY_DS216J_TEASER

Synology hat mit der DiskStation DS216j vor kurzem den Nachfolger der sehr erfolgreichen Einsteiger-NAS DS215j vorgestellt. Die DS216j ist ein kompaktes NAS-System für zwei Festplatten, welches dank aktuellem Betriebssystem DiskStation Manager 6.0 mit umfangreichen Funktionen aufwarten kann. Im... [mehr]

Synology DS216play im Test

Logo von IMAGES/STORIES/REVIEW_TEASER/SYNOLOGY_DS216PLAY_TEASER

Die im letzten Jahr vorgestellte Synology Diskstation DS216play ist ein 2-Bay-NAS, welches besonders durch seine Transkodierungsfähigkeiten hervorstechen soll und somit auf den Multimedia-Bereich zielt. Das DS216play soll dank eines leistungsfähigen ARM-SoCs auch hochauflösende 4K-Videos... [mehr]

Ausprobiert: Synology Diskstation Manager 6.0 Beta 2

Logo von SYNOLOGY

Der DiskStation Manager als Betriebssystem der NAS-Systeme von Synology ist sicher der entscheidene Faktor, warum Synology im NAS-Markt so erfolgreich ist. Das Userinterface, was mit seinem Desktop-Look einen einfachen Einstieg ermöglicht, bietet ebenso einen leichten Zugriff auf die Vielzahl an... [mehr]

AVM FRITZ!Box 7580 mit MU-MIMO im Test

Logo von IMAGES/STORIES/GALLERIES/REVIEWS/2016/FRITZBOX7580/FRITZBOX-7580-LOGO

Bereits seit Monaten rührt AVM fleißig die Werbetrommel für die FRITZ!Box 7580, die als vorläufiges High-End-Produkt aus Berlin schnelles WLAN mit den aktuellen DSL-Standards verbindet. MU-MIMO ist dabei das Stichwort und soll die WLAN-Leistung der FRITZ!Box wieder an die Spitze bringen. Das... [mehr]

Synology DS116 und DS916+: Neues Einsteiger- und High-End-NAS

Logo von IMAGES/STORIES/LOGOS-2013/SYNOLOGY

Synology hat am Donnerstag zwei neue NAS-Geräte vorgestellt, die unterschiedlicher nicht sein könnten. Während die Synology DiskStation DS116 sich eher an preisbewusste und weniger anspruchsvolle Käufer richtet, ist die DiskStation DS916+ deutlich leistungsfähiger und natürlich teurer. Sie... [mehr]

Netgear AC1750 und Synology RT1900ac im Test

Logo von IMAGES/STORIES/GALLERIES/REVIEWS/2016/SYNOLOGY-RT1900AC/SYNOLOGY-RT1900AC-LOGO

Von Jahr zu Jahr finden sich mehr WLAN-fähige Geräte in deutschen Haushalten. Deren immer größerer Bedarf an möglichst schneller WLAN-Versorgung bringt die von den Internetanbietern zur Verfügung gestellten Router schnell an ihre Grenzen - diese vertrauen zu einem Großteil auf die... [mehr]