Abo
  • Services:
Anzeige
Script-Injection über einen SOAP-XML-Call - so verbreitet sich die neue Variante des Mirai-Botnetzes.
Script-Injection über einen SOAP-XML-Call - so verbreitet sich die neue Variante des Mirai-Botnetzes. (Bild: Screenshot Golem.de)

Fernwartungsprotokoll ohne Authentifizierung

Auf Port 7547 lauscht auf diesen Routern ein Webserver, der die beiden Protokolle TR-069 und TR-064 implementiert. TR-069 ist ein Fernwartungsprotokoll, mit dem Internet-Service-Provider Einstellungen an den Routern ihrer Kunden vornehmen können. Das Protokoll TR-064 ist eigentlich nur für die Konfiguration von Geräten in lokalen Netzwerken vorgesehen. Dass es auf einem vom Internet aus zugänglichen Port aktiviert ist, ist auf jeden Fall ein Fehler. Befehle für diese Protokolle werden als HTTP-POST-Request mittels eines SOAP-Datenformats gesendet.

Anzeige

Im Fall der betroffenen Router kann man TR-064 ohne jede Authentifizierung nutzen. Das alleine ist schon problematisch, man könnte etwa einen anderen DNS-Server oder Router konfigurieren. Doch eine Funktion in diesen Routern hat eine zusätzliche Script-Injection-Sicherheitslücke: Die Funktion "SetNTPServer", mit der man Zeitserver für den Router konfigurieren kann, ermöglicht es, in Backticks eingebettete Befehle zu schicken, die dann auf dem betroffenen System ausgeführt werden.

Angriffe auf Port 7547

Mittels dieser Skript-Injection-Lücke verbreitet sich die Botnetz-Malware. Das lässt sich relativ simpel beobachten: Wer auf einer öffentlich zugänglichen IP den Port 7547 öffnet, etwa mithilfe des Tools Netcat, wird bereits nach wenigen Minuten Angriffsversuche sehen. Mittels der beschriebenen Skript-Injection-Lücke wird versucht, eine Datei per wget von einem Kontrollserver herunterzuladen und auszuführen.

Die heruntergeladene Datei mit dem schlichten Dateinamen "1" enthält Code für MIPS-Prozessoren. Doch weitere Dateien mit den Namen 2, 3, 4 und 6 lassen sich ebenfalls herunterladen und enthalten Code für verschiedene andere Prozessorarchitekturen. Manche Angriffe laden offenbar ein Skript herunter, das die verschiedenen Varianten alle ausprobiert. Die Malware versucht also anscheinend, sehr unterschiedliche Systeme zu infizieren. Auf infizierten Geräten schließt die Malware den Port 7547 sofort mittels iptables.

TR-069 macht nicht zum ersten Mal Ärger

Die Fernwartungsschnittstelle TR-069 war bereits vor zwei Jahren Angriffspunkt für eine Sicherheitslücke. Eine Lücke namens Misfortune Cookie konnte in einer uralten Webserver-Software ausgenutzt werden. Allerdings handelt es sich dabei um ein von der aktuellen Sicherheitslücke völlig unabhängiges Problem.

Generell erscheint es sehr problematisch, dass Router überhaupt für die Wartung durch den Internet-Service-Provider Ports nach außen öffnen, denn derartige Services bieten immer eine große Angriffsfläche. Selbst wenn man generell die Wartung von außen ermöglichen möchte, wäre es sinnvoller, wenn die Router von sich aus eine Verbindung zu einem Service-Server aufbauen würden.

Nachtrag vom 30. November 2016, 10:15 Uhr

Ursprünglich hatten wir berichtet, dass die Speedport-Router der Telekom selbst Teil eines Botnetzes seien. Das hat sich aufgrund der Recherchen von Comsecuris als falsch erwiesen. Wir haben den Artikel entsprechend angepasst.

 Botnetz: Telekom-Routerausfälle waren nur Kollateralschaden

eye home zur Startseite
sfe (Golem.de) 01. Dez 2016

Bevor das hier noch abrutscht: closed. Sebastian Fels (golem.de)

Themenstart

Jolla 01. Dez 2016

Aber nicht in einem IP Range von dynamisch vergebenen IPs. Das interessiert dort weniger...

Themenstart

Feuerschmied 01. Dez 2016

Vereinfachtes Beispiel Du kaufst ein neues Auto (Router) und fährst Los (steckst an...

Themenstart

tomatentee 01. Dez 2016

Zwischendrim haben sie sich zum Opfer eines der größten "Cyber-Angriffe" aller Zeiten...

Themenstart

tomatentee 01. Dez 2016

Vor dem Hintergrund ist das Kampfgeheul vom Telekom-Timmey schon ziemlich peinlich...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Daimler AG, Leinfelden-Echterdingen
  2. Robert Bosch GmbH, Stuttgart-Feuerbach
  3. Thalia Bücher GmbH, Hagen (Raum Dortmund)
  4. über Ratbacher GmbH, Stuttgart (Home-Office möglich)


Anzeige
Top-Angebote
  1. (u. a. X-Men Apocalypse, The Huntsman & The Ice Queen, Asterix erobert Rom, The Purge, Shutter...
  2. 99,00€
  3. (u. a. Better Call Saul 1. Staffel Blu-ray 12,97€, Breaking Bad letzte Staffel Blu-ray 9,97€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Mit digitalen Workflows Geschäftsprozesse agiler machen


  1. DNS NET

    Erste Kunden in Sachsen-Anhalt erhalten 500 MBit/s

  2. Netzwerk

    EWE reduziert FTTH auf 40 MBit/s im Upload

  3. Rahmenvertrag

    VG Wort will mit Unis neue Zwischenlösung für 2017 finden

  4. Industriespionage

    Wie Thyssenkrupp seine Angreifer fand

  5. Kein Internet

    Nach Windows-Update weltweit Computer offline

  6. Display Core

    Kernel-Community lehnt AMDs Linux-Treiber weiter ab

  7. Test

    Mobiles Internet hat viele Funklöcher in Deutschland

  8. Kicking the Dancing Queen

    Amazon bringt Songtexte-Funktion nach Deutschland

  9. Nachruf

    Astronaut John Glenn im Alter von 95 Jahren gestorben

  10. Künstliche Intelligenz

    Go Weltmeisterschaft mit Menschen und KI



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Großbatterien: Sechs 15-Megawatt-Anlagen sollen deutsches Stromnetz sichern
Großbatterien
Sechs 15-Megawatt-Anlagen sollen deutsches Stromnetz sichern
  1. HPE Hikari Dieser Supercomputer wird von Solarenergie versorgt
  2. Tesla Desperate Housewives erzeugen Strom mit Solarschindeln
  3. Solar Roadways Erste Solarzellen auf der Straße verlegt

Google, Apple und Mailaccounts: Zwei-Faktor-Authentifizierung richtig nutzen
Google, Apple und Mailaccounts
Zwei-Faktor-Authentifizierung richtig nutzen
  1. Bugs in Encase Mit dem Forensik-Tool die Polizei hacken
  2. Red Star OS Sicherheitslücke in Nordkoreas Staats-Linux
  3. 0-Day Tor und Firefox patchen ausgenutzten Javascript-Exploit

Steep im Test: Frei und einsam beim Bergsport
Steep im Test
Frei und einsam beim Bergsport
  1. PES 2017 Update mit Stadion und Hymnen von Borussia Dortmund
  2. Motorsport Manager im Kurztest Neustart für Sportmanager
  3. NBA 2K17 10.000 Schritte für Ingame-Boost

  1. Re: Sieht gut aus

    ManMashine | 20:06

  2. Re: Mehr macht bei EWE eh keinen Sinn

    RipClaw | 20:05

  3. Re: Ergänzung...

    muhzilla | 20:05

  4. Re: Musst ja mal vorkommen

    StefanGrossmann | 20:05

  5. Re: Hat Microsoft eigentlich noch eine...

    DetlevCM | 20:00


  1. 18:40

  2. 17:30

  3. 17:13

  4. 16:03

  5. 15:54

  6. 15:42

  7. 14:19

  8. 13:48


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel