> > > > Was hinter dem vermeintlichen Angriff und Routerausfall bei der Deutschen Telekom steckt

Was hinter dem vermeintlichen Angriff und Routerausfall bei der Deutschen Telekom steckt

Veröffentlicht am: von

telekom2Am Montag kam es zu einem großflächigen Ausfall von Internet, Telefonie und IPTV an rund 900.000 Anschlüssen der Deutschen Telekom. Die Gründe für den Ausfall blieben lange im Dunkeln, nach DNS-Problemen spielte die Deutsche Telekom aber ein Firmware-Update für betroffenen Router ein, welches das Problem beseitigen konnte. Dennoch blieb die Frage, was genau zum Ausfall geführt hatte, denn schnell war die Rede von einem Hackerangriff, der eine bereits seit Jahren offene Sicherheitslücke ausgenutzt haben soll. Selbst die Tagesthemen und die Heute-Sendungen beschäftigten sich mit dem Thema, was seine Relevanz noch einmal unterstreichen soll.

Nun konnten zumindest einige Fragen geklärt werden. So handelte es sich wirklich um einen Angriff auf den Fernwartungsport TR-069. Das Ziel war allerdings nicht, die Infrastruktur als solche lahmzulegen, sondern über diesen Fernwartungsport an weitere Geräte im Netz der Kunden zu gelangen. Aufgrund einer fehlerhaften Infektionsroutine ist es dazu aber gar nicht erst gekommen. Das Problem und die Ausfälle sind demnach etwas anders gelagert, als dies zunächst den Eindruck machte.

Geplant war offenbar das Ausnutzen einer Sicherheitslücke, die über TR-069-Anfragen auf Port 7547 dem Betriebssystem des Routers Befehle für den Zeit-Server übergeben sollte. Das sollte wiederum dazu führen, dass Schadcode heruntergeladen werden kann. Kommt es aber zu häufigen TR-069-Anfragen auf Port 7547, verweigern einige Geräte einfach ihren Dienst und schalten die Netzwerkdienste ab. Dies ist mit einigen Speedport-Modellen der Deutschen Telekom geschehen, während andere Router-Modelle die häufigen Anfragen einfach ignorieren. Im Grunde hat es sich also um eine klassischen DDoS-Attacke gehandelt, bei der häufige Anfragen unterschiedlichster Art auf einen Dienst im Netz einwirken. In diesem Fall waren es die TR-069-Anfragen auf Port 7547, die von bestimmten Routern nicht richtig verarbeitet werden und die daraufhin ihren Dienst einstellen.

Weiterhin ist das Netz voll solcher Anfragen, die von anderen und anderweitig infizierten Routern gesendet werden. Die Firmware-Updates der Telekom verhindern nun aber ein Abstürzen der Software. Wichtig aber ist festzuhalten, dass keinerlei Router über TR-069-Anfragen infiziert wurden, sondern eine Infizierung noch gar nicht stattfinden konnte, da die fehlerhafte Infektionsroutine die angegriffene Hardware zum Absturz bringt.

Deutsche Telekom reagierte nur

Auch wenn die Deutsche Telekom nun davon sprechen kann, dass ihre Router nicht durch eine Sicherheitslücke infiziert wurden, gibt es dennoch Versäumnisse auf Seiten des Konzerns. Die Router hätten gar nicht über den Fernwartungsport erreichbar sein dürfen. Es gab bereits Angriffvektoren auf diesem Port, die hätten funktionieren können, doch so weit sind die Angreifer diesmal offenbar nicht gekommen. Wenn der Deutschen Telekom also seit 2014 bekannt gewesen sein sollte, dass es über den Fernwartungsport theoretisch eine Angriffsmöglichkeit gibt, dann hätte man diese Lücke längst schließen können.

Einmal mehr zeigt sich an dieser Stelle auch, dass die freie Routerwahl dem Kunden nicht nur eine Wahl lässt, sondern dieser damit auch entscheidend dazu beitragen kann, dass die eigenen Systeme sicherer sind. Zuletzt veröffentlichte allerdings auch AVM einen Krypto-Schlüssel in seiner Firmware, der so in dieser Form hätte dort nicht vorhanden sein müssen. Auf Seiten von AVM reagierte man aber sehr schnell und war bereits dabei, die Firmware der Geräte auszutauschen. Bei der Deutschen Telekom wurde erst nach Bekanntwerden der Vorfälle reagiert.

Social Links

Ihre Bewertung

Ø Bewertungen: 3

Tags

Kommentare (10)

#1
customavatars/avatar64442_1.gif
Registriert seit: 22.05.2007
Asgard und Berlin
Der Dahar-Meister!
Beiträge: 2091
Das ist doch quatsch. Hier steht die Wahrheit

https://www.heise.de/newsticker/meldung/Grossstoerung-bei-der-Telekom-Was-wirklich-geschah-3520212.html



Somit hat die Telekom mal wieder alle hinter das Licht geführt.
#2
Registriert seit: 27.11.2016

Matrose
Beiträge: 27
Vielen Dank für den interessanten Artikel Wotan, ich sollte wieder mehr heise statt nur golem lesen ;) was für mich aber im Grunde bedeutet: Telekoms Aussage war ja dass der Angriff schlecht gewesen wäre und deshalb nicht den maximalen Schaden erzielt hätte. Wenn man dies im Zusammenhang mit diesem Artikel sieht bedeutet das aber für mich dass es sehr wohl eine Sicherheitslücke gibt, die man ausnutzen könnte, es aber noch nicht getan hat. Die Telekom weiß anscheinend sehr gut darüber Bescheid scheint aber hier die Tatsachen nicht offen zu legen. Mal sehen welche Hacker sich durch diesen Angriff inspiriert fühlen am TR-069 weiter zu hacken. Daher ja auch die Aussage man könne in Zukunft diese Angriffe nicht verhindern. Ich bleibe also gespannt


Gesendet von iPhone mit Tapatalk
#3
customavatars/avatar64442_1.gif
Registriert seit: 22.05.2007
Asgard und Berlin
Der Dahar-Meister!
Beiträge: 2091
Es war ein Denial-of-Service-Problem
#4
customavatars/avatar30619_1.gif
Registriert seit: 02.12.2005

Vizeadmiral
Beiträge: 8144
Heise weiß nicht einmal, was TR-069 ist und wie es funktioniert, aber das ist "die Wahrheit"?

Lesen, wer Bock hat:
https://www.broadband-forum.org/technical/download/TR-069.pdf

Achtung, sehr technisch.
#5
customavatars/avatar283_1.gif
Registriert seit: 03.07.2001
127.0.0.1
Admiral
Altweintrinker
Beiträge: 25376
Wissen sie nicht?
https://www.heise.de/ct/artikel/DSL-fernkonfiguriert-221789.html

Davon ab, berichtet heise dort lediglich über Erkenntnisse von Ralf-Philipp Weinmann. Das Fachwissen von heise selbst spielt bei der Meldung also gar keine Rolle.

Zitat
Das Ziel war allerdings nicht, die Infrastruktur als solche lahmzulegen, sondern über diesen Fernwartungsport an weitere Geräte im Netz der Kunden zu gelangen.

Quelle/Beleg für diese Aussage?
Ziel waren doch scheinbar die Router selbst, nicht das, was dahinter liegt.

Zitat
Aufgrund einer fehlerhaften Infektionsroutine ist es dazu aber gar nicht erst gekommen.

Jain, die Arcadyan Geräte waren für die Lücke gar nicht anfällig.
Es schoss scheinbar "nur" den DNS-forwarder ab.
Wobei ihr das im nächsten Abschnitt ja selbst beschreibt. Wieso dann fehlerhafte Infektionsroutine, wenn das Gerät eh nicht anfällig war?

Zitat
sondern eine Infizierung noch gar nicht stattfinden konnte, da die fehlerhafte Infektionsroutine die angegriffene Hardware zum Absturz bringt.

Die Arcadyan Geräte wären auch bei "korrekter" Infektionsroutine abgestürzt und nicht infiziert geworden.
Wie schon gesagt, sind sie für diese Art der Lücke scheinbar nicht anfällig. (Aber wohl für andere :o) )

Zitat
Wenn der Deutschen Telekom also seit 2014 bekannt gewesen sein sollte, dass es über den Fernwartungsport theoretisch eine Angriffsmöglichkeit gibt, dann hätte man diese Lücke längst schließen können.

Die Telekom erklärte damals, dass ihre Netze sicher seien. Auch wurde "EasySupport" (TR-069 Marketingsprech) in den eigenen Hilfeforen für sicher erklärt.

Siehe auch: https://www.heise.de/newsticker/meldung/TR-069-Fernwartungsluecke-bei-DSL-Routern-Deutsche-Internetanbieter-bezeichnen-ihre-Netze-als-sicher-2299863.html

Läuft doch wie immer - negieren bis es knallt und dann, wie im jetzigen Fall, sogar noch als "Opfer" vor die Presse treten, obwohl man Mitschuld hat.
Wobei man die Angriffe auf den ACS und nun direkt auf die CPEs eigentlich getrennt betrachten muss, auch wenn der NTP Angriff mit dem damaligen Vortrag zu tun hat (wenn ich das noch richtig im Kopf habe).
#6
customavatars/avatar30619_1.gif
Registriert seit: 02.12.2005

Vizeadmiral
Beiträge: 8144
So wie ich das verstehe hat TR-069 keinen ständig offenen Port, an den man einfach so kommt, sondern die Initialisierung erfolgt immer von der Routerseite aus und setzt dann erst den Prozess in Gang. Wie man dann also jederzeit von außen Schadsoftware aufspielen will, erschließt sich mir so nicht. Also liest sich das hier, wie ein Problem mit TR-064.

Zitat Mr.Mito;25111067


Davon ab, berichtet heise dort lediglich über Erkenntnisse von Ralf-Philipp Weinmann. Das Fachwissen von heise selbst spielt bei der Meldung also gar keine Rolle.


Also dürfen Gastautoren ungeprüft Beiträge bei Heise veröffentlichen und niemand liest sie durch, um deren Schlüssigkeit zu verifizieren? Interessant.
Merke ich mir für die nächste Lektüre.
#7
Registriert seit: 23.10.2005

Admiral
Beiträge: 11005
Zitat Krümelmonster;25111365
So wie ich das verstehe hat TR-069 keinen ständig offenen Port, an den man einfach so kommt, sondern die Initialisierung erfolgt immer von der Routerseite aus und setzt dann erst den Prozess in Gang. Wie man dann also jederzeit von außen Schadsoftware aufspielen will, erschließt sich mir so nicht. Also liest sich das hier, wie ein Problem mit TR-064.


Ausgehend von dem von dir verlinkten Whitepaper:

Zitat
The CPE MAY at any time initiate a connection to the ACS via a CWMP Endpoint using
the pre-determined ACS address (see Section 3.1). A CPE MUST establish a connection
to the ACS and issue the Inform RPC method (following the procedures described in
Section 3.7.1.1) under the following conditions:


Zitat
- Whenever the CPE receives a valid Connection Request from an ACS (see
Section 3.2.2)
- Whenever the URL of the ACS changes
#8
customavatars/avatar30619_1.gif
Registriert seit: 02.12.2005

Vizeadmiral
Beiträge: 8144
Das erklärt es aber nicht. Auch wenn man von außen den immediate request sendet, läuft das Ganze nicht ohne Anmeldung am ACS. "Einfach so" einen Download von Malware kann man nicht initiieren.
Das Problem dabei ist vermutlich eher, dass von außen auch TR-064 (oder ein Teil davon?) erreichbar (war).
#9
customavatars/avatar97341_1.gif
Registriert seit: 23.08.2008
Bitz
Anime und Hardware Otaku
Beiträge: 12752
Alles falsch :D

Die Mutter von Timotheus Höttges ist über das WLAN-Kabel gestolpert :fresse:
#10
customavatars/avatar2215_1.gif
Registriert seit: 02.07.2002

Flottillenadmiral
Beiträge: 5289
Tja echte Speedports taugen ebend nichts. Jene T-Kunden genau 2 die von mir eine Fritzbox bekamen hatten diese Probleme nicht.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Inklusive Supervectoring: AVM FRITZ!Box 7590 im Test

Logo von IMAGES/STORIES/2017/AVM-FRITZBOX-7590

Im vergangenen Jahr führte AVM eine neue FRITZ!Box-Serie ein. Mit der FRITZ!Box 7580 haben wir uns das bis dahin schnellste Modell und das mit der besten Ausstattung angeschaut. Größter Unterschied der 7580 zur nun neuen 7590 ist die Unterstützung für VDSL-Supervectoring 35b. Aber es gibt... [mehr]

QNAP TS-451A im Test

Logo von IMAGES/STORIES/REVIEW_TEASER/QNAP_TS-451A_TEASER

QNAP hat sein bereits umfangreiches Produktportfolio wieder einmal überarbeitet und mit den beiden neuen Modellen der TS-x51A-Serie zwei leistungsfähige NAS für den Heimbereich vorgestellt, in welchen ein schneller Intel Celeron N3060 zum Einsatz kommt. Dank HDMI-Ausgang plus Fernbedienung... [mehr]

Fünf Mesh-Systeme von ASUS, AVM, Devolo, Google und Netgear im Test

Logo von IMAGES/STORIES/2017/MESH-AUFBAU

Nachladende YouTube-Videos, schlechte Streaming-Qualitäten und einige andere Auswirkungen machen dem Smartphone- und Tablet-Nutzer eine schlechte WLAN-Abdeckung schnell deutlich - eine gute Abdeckung in den eigenen vier Wänden ist daher heute für viele Anwender eine elementare Voraussetzung -... [mehr]

ASUS DSL-AC 87VG im Test – eine Alternative zur FRITZ!Box?

Logo von IMAGES/STORIES/NEWSBILDER/ASCHILLING/2016/ASUS-DSL-AC-87VG-LOGO

Die Öffnung des deutschen Marktes für DSL-Router sorgt für etwas Bewegung in dem Segment. Das Angebot an DSL-Routern ist recht überschaubar und den meisten dürfte AVM hier als erster Hersteller einfallen. Es gibt natürlich auch noch weitere Anbieter wie TP-Link, Netgear, ZyXEL und auch ASUS,... [mehr]

Mit 802.11ad und 10-Gigabit-Ethernet – Netgear Nighthawk X10 im Test

Logo von IMAGES/STORIES/NEWSBILDER/ASCHILLING/2017/NETGEAR-NIGHTHAWK-X10-LOGO

Die Leistung von WLAN-Hardware hat inzwischen Dimensionen erreicht, die in vielen Fällen den Einsatz von Ethernet unnötig macht. Immerhin sprechen wir von theoretischen 1.733 MBit/s und damit sind zumindest in der Theorie bereits Datenübertragungsraten möglich, die weit über jeder normalen... [mehr]

Synology DiskStation DS1517+ im Test

Logo von IMAGES/STORIES/REVIEW_TEASER/SYNOLOGY_DS1517PLUS_REVIEWTEASER

Synology hat zur CeBIT 2017 mit der DiskStation DS1517+ eine überarbeitete Version der auch bei Enthusiasten beliebten 5-Bay-NAS DiskStation DS1515+ vorgestellt, welche nun mit einem integrierten PCIe-Slot punkten möchte, über welchen sich wahlweise eine 10-Gigabit-Netzwerkkarte oder ein... [mehr]