Telekom-Ausfall wurde durch missglückten Botnet-Angriff verursacht

Einen Tag, nach­dem der ver­meint­li­che Aus­fall von über 900.000 DSL-Anschlüs­sen der Tele­kom in Deutsch­land in den Schlag­zei­len war, zeich­net sich lang­sam ab, was die Ursa­che dafür war. Wäh­rend die Tele­kom zunächst noch im Dun­keln tapp­te, wur­de bereits gestern der Ver­dacht laut, dass es sich um einen Hacker-Angriff han­deln könnte.

Heu­te wur­de bekannt, dass nicht die Infra­struk­tur-Kno­ten der Tele­kom das Ziel des Angriffs waren, son­dern die Mil­lio­nen von Rou­ter der DSL-Kun­den. Dafür soll­te eine Sicher­heits­lü­cke aus­ge­nutzt wer­den, die Anfang des Monats in Eir D1000 DSL-Modems ent­deckt wor­den war wie sie in vie­len DSL-Rou­tern mit inte­grier­tem Modem zum Ein­satz kom­men. Die Lücke betrifft die Fern­war­tungs­schnitt­stel­le gemäß TR-069 Pro­to­koll auf Port 7547, die vie­le Inter­net-Pro­vi­der nut­zen, um ihre Miet­rou­ter remo­te zu kon­fi­gu­rie­ren. Kom­bi­niert wur­de der Ver­such, die­se Sicher­heits­lü­cke aus­zu­nut­zen, mit dem quell­of­fe­nen IoT-Bot­netz Mirai. Ziel scheint gewe­sen zu sein, Mil­lio­nen von DSL-Rou­ter zu infi­zie­ren und selbst Teil des Bot­nets zu machen.

Obwohl der Inter­net-Aus­fall für vie­le der Kun­den ärger­lich war, scheint doch das schlimms­te ver­hin­dert wor­den zu sein, da der Angriff feh­ler­haft aus­ge­führt wor­den sein soll. Statt die Rou­ter zu infi­zie­ren, stürz­ten sie ab. Betrof­fen waren laut ver­schie­de­nen Quel­len offen­bar jene Tele­kom-Rou­ter, die vom Her­stel­ler Arca­dy­an in Auf­trag gefer­tigt wur­den, nament­lich Speed­port W 921V inkl. Fib­re, W 723V Typ B, aber auch Speed­port W 504V Typ A und Speed­port Ent­ry I. Firm­ware-Updates wer­den bereits ver­teilt und soll­ten in jedem Fall manu­ell ein­ge­spielt wer­den wenn die auto­ma­ti­sche Aktua­li­sie­rung nicht ein­ge­schal­tet ist.

Erwischt hat es vor allem jene Kun­den, die ihren Rou­ter gemie­tet haben. Hier muss gemäß Ver­trags­be­stim­mun­gen die Easy­Sup­port-Funk­ti­on akti­viert blei­ben, was nichts ande­res ist als ein offe­ner Port 7547 für die Fern­war­tung per TR-069. Anwen­der mit gekauf­ten Rou­tern, die Easy­Sup­port manu­ell abge­schal­tet hat­ten, waren nicht betrof­fen, da in die­sem Fall der Port 7547 nicht offen ist. Anwen­der kön­nen (und soll­ten) in ihren Rou­tern prü­fen, ob sie eine der­ar­ti­ge Funk­ti­on zur Fern­kon­fi­gu­ra­ti­on haben, sie akti­viert ist und die­se abschal­ten wenn sie kön­nen (und dürfen).

Da nicht jeder Anwen­der Linux hat und mit “nmap ‑p7547 mei­ne­WA­Nip” prü­fen kann, ob ein WAN-Port offen ist oder nicht, hat Hei­se ein Online-Tool bereit­ge­stellt, das im Brow­ser prü­fen kann, ob man selbst für Angrif­fe auf TR-069 emp­fäng­lich wäre. Lei­der ist die Sei­te momen­ten ziem­lich über­las­tet. Auch wenn der aktu­el­le Angriff eine kon­kre­te Sicher­heits­lü­cke aus­zu­nut­zen ver­such­te, war­nen Sicher­heits­exper­ten doch schon lan­ge vor Lücken in der Fern­kon­fi­gu­rier­bar­keit der Internet-Router.

Links zum Thema:

• Def Con 22: Mil­lio­nen DSL-Rou­ter durch TR-069-Fern­war­tung kompromittierbar 
• Groß­stö­rung bei der Tele­kom: “Schlecht pro­gram­mier­te Schad­soft­ware” ver­hin­der­te schlim­me­re Folgen
• Eir’s D1000 Modem Is Wide Open To Being Hacked
• Infor­ma­ti­on zu aktu­el­len Beein­träch­ti­gun­gen (Tele­kom)
• Stö­rung bei der Tele­kom: Noch mehr Speed­port-Rou­ter betroffen