Telekom-Ausfall wurde durch missglückten Botnet-Angriff verursacht
Einen Tag, nachdem der vermeintliche Ausfall von über 900.000 DSL-Anschlüssen der Telekom in Deutschland in den Schlagzeilen war, zeichnet sich langsam ab, was die Ursache dafür war. Während die Telekom zunächst noch im Dunkeln tappte, wurde bereits gestern der Verdacht laut, dass es sich um einen Hacker-Angriff handeln könnte.
Heute wurde bekannt, dass nicht die Infrastruktur-Knoten der Telekom das Ziel des Angriffs waren, sondern die Millionen von Router der DSL-Kunden. Dafür sollte eine Sicherheitslücke ausgenutzt werden, die Anfang des Monats in Eir D1000 DSL-Modems entdeckt worden war wie sie in vielen DSL-Routern mit integriertem Modem zum Einsatz kommen. Die Lücke betrifft die Fernwartungsschnittstelle gemäß TR-069 Protokoll auf Port 7547, die viele Internet-Provider nutzen, um ihre Mietrouter remote zu konfigurieren. Kombiniert wurde der Versuch, diese Sicherheitslücke auszunutzen, mit dem quelloffenen IoT-Botnetz Mirai. Ziel scheint gewesen zu sein, Millionen von DSL-Router zu infizieren und selbst Teil des Botnets zu machen.
Obwohl der Internet-Ausfall für viele der Kunden ärgerlich war, scheint doch das schlimmste verhindert worden zu sein, da der Angriff fehlerhaft ausgeführt worden sein soll. Statt die Router zu infizieren, stürzten sie ab. Betroffen waren laut verschiedenen Quellen offenbar jene Telekom-Router, die vom Hersteller Arcadyan in Auftrag gefertigt wurden, namentlich Speedport W 921V inkl. Fibre, W 723V Typ B, aber auch Speedport W 504V Typ A und Speedport Entry I. Firmware-Updates werden bereits verteilt und sollten in jedem Fall manuell eingespielt werden wenn die automatische Aktualisierung nicht eingeschaltet ist.
Erwischt hat es vor allem jene Kunden, die ihren Router gemietet haben. Hier muss gemäß Vertragsbestimmungen die EasySupport-Funktion aktiviert bleiben, was nichts anderes ist als ein offener Port 7547 für die Fernwartung per TR-069. Anwender mit gekauften Routern, die EasySupport manuell abgeschaltet hatten, waren nicht betroffen, da in diesem Fall der Port 7547 nicht offen ist. Anwender können (und sollten) in ihren Routern prüfen, ob sie eine derartige Funktion zur Fernkonfiguration haben, sie aktiviert ist und diese abschalten wenn sie können (und dürfen).
Da nicht jeder Anwender Linux hat und mit “nmap ‑p7547 meineWANip” prüfen kann, ob ein WAN-Port offen ist oder nicht, hat Heise ein Online-Tool bereitgestellt, das im Browser prüfen kann, ob man selbst für Angriffe auf TR-069 empfänglich wäre. Leider ist die Seite momenten ziemlich überlastet. Auch wenn der aktuelle Angriff eine konkrete Sicherheitslücke auszunutzen versuchte, warnen Sicherheitsexperten doch schon lange vor Lücken in der Fernkonfigurierbarkeit der Internet-Router.
Links zum Thema:
- Def Con 22: Millionen DSL-Router durch TR-069-Fernwartung kompromittierbar
- Großstörung bei der Telekom: “Schlecht programmierte Schadsoftware” verhinderte schlimmere Folgen
- Eir’s D1000 Modem Is Wide Open To Being Hacked
- Information zu aktuellen Beeinträchtigungen (Telekom)
- Störung bei der Telekom: Noch mehr Speedport-Router betroffen