Telekom-Ausfall wurde durch missgl체ckten Botnet-Angriff verursacht

Einen Tag, nach짯dem der ver짯meint짯li짯che Aus짯fall von 체ber 900.000 DSL-Anschl체s짯sen der Tele짯kom in Deutsch짯land in den Schlag짯zei짯len war, zeich짯net sich lang짯sam ab, was die Ursa짯che daf체r war. W채h짯rend die Tele짯kom zun채chst noch im Dun짯keln tapp짯te, wur짯de bereits gestern der Ver짯dacht laut, dass es sich um einen Hacker-Angriff han짯deln k철nnte.

Heu짯te wur짯de bekannt, dass nicht die Infra짯struk짯tur-Kno짯ten der Tele짯kom das Ziel des Angriffs waren, son짯dern die Mil짯lio짯nen von Rou짯ter der DSL-Kun짯den. Daf체r soll짯te eine Sicher짯heits짯l체짯cke aus짯ge짯nutzt wer짯den, die Anfang des Monats in Eir D1000 DSL-Modems ent짯deckt wor짯den war wie sie in vie짯len DSL-Rou짯tern mit inte짯grier짯tem Modem zum Ein짯satz kom짯men. Die L체cke betrifft die Fern짯war짯tungs짯schnitt짯stel짯le gem채횩 TR-069 Pro짯to짯koll auf Port 7547, die vie짯le Inter짯net-Pro짯vi짯der nut짯zen, um ihre Miet짯rou짯ter remo짯te zu kon짯fi짯gu짯rie짯ren. Kom짯bi짯niert wur짯de der Ver짯such, die짯se Sicher짯heits짯l체짯cke aus짯zu짯nut짯zen, mit dem quell짯of짯fe짯nen IoT-Bot짯netz Mirai. Ziel scheint gewe짯sen zu sein, Mil짯lio짯nen von DSL-Rou짯ter zu infi짯zie짯ren und selbst Teil des Bot짯nets zu machen.

Obwohl der Inter짯net-Aus짯fall f체r vie짯le der Kun짯den 채rger짯lich war, scheint doch das schlimms짯te ver짯hin짯dert wor짯den zu sein, da der Angriff feh짯ler짯haft aus짯ge짯f체hrt wor짯den sein soll. Statt die Rou짯ter zu infi짯zie짯ren, st체rz짯ten sie ab. Betrof짯fen waren laut ver짯schie짯de짯nen Quel짯len offen짯bar jene Tele짯kom-Rou짯ter, die vom Her짯stel짯ler Arca짯dy짯an in Auf짯trag gefer짯tigt wur짯den, nament짯lich Speed짯port W 921V inkl. Fib짯re, W 723V Typ B, aber auch Speed짯port W 504V Typ A und Speed짯port Ent짯ry I. Firm짯ware-Updates wer짯den bereits ver짯teilt und soll짯ten in jedem Fall manu짯ell ein짯ge짯spielt wer짯den wenn die auto짯ma짯ti짯sche Aktua짯li짯sie짯rung nicht ein짯ge짯schal짯tet ist.

Erwischt hat es vor allem jene Kun짯den, die ihren Rou짯ter gemie짯tet haben. Hier muss gem채횩 Ver짯trags짯be짯stim짯mun짯gen die Easy짯Sup짯port-Funk짯ti짯on akti짯viert blei짯ben, was nichts ande짯res ist als ein offe짯ner Port 7547 f체r die Fern짯war짯tung per TR-069. Anwen짯der mit gekauf짯ten Rou짯tern, die Easy짯Sup짯port manu짯ell abge짯schal짯tet hat짯ten, waren nicht betrof짯fen, da in die짯sem Fall der Port 7547 nicht offen ist. Anwen짯der k철n짯nen (und soll짯ten) in ihren Rou짯tern pr체짯fen, ob sie eine der짯ar짯ti짯ge Funk짯ti짯on zur Fern짯kon짯fi짯gu짯ra짯ti짯on haben, sie akti짯viert ist und die짯se abschal짯ten wenn sie k철n짯nen (und d체rfen).

Da nicht jeder Anwen짯der Linux hat und mit 쐍map 몆7547 mei짯ne짯WA짯Nip pr체짯fen kann, ob ein WAN-Port offen ist oder nicht, hat Hei짯se ein Online-Tool bereit짯ge짯stellt, das im Brow짯ser pr체짯fen kann, ob man selbst f체r Angrif짯fe auf TR-069 emp짯f채ng짯lich w채re. Lei짯der ist die Sei짯te momen짯ten ziem짯lich 체ber짯las짯tet. Auch wenn der aktu짯el짯le Angriff eine kon짯kre짯te Sicher짯heits짯l체짯cke aus짯zu짯nut짯zen ver짯such짯te, war짯nen Sicher짯heits짯exper짯ten doch schon lan짯ge vor L체cken in der Fern짯kon짯fi짯gu짯rier짯bar짯keit der Internet-Router.

Links zum Thema: