Abo
  • Services:
Anzeige
Script-Injection über einen SOAP-XML-Call - so verbreitet sich die neue Variante des Mirai-Botnetzes.
Script-Injection über einen SOAP-XML-Call - so verbreitet sich die neue Variante des Mirai-Botnetzes. (Bild: Screenshot Golem.de)

Botnetz: Telekom-Routerausfälle waren nur Kollateralschaden

Eine Variante des Mirai-Botnetzes auf Routern hat zahlreiche Ausfälle bei Telekom-Kunden verursacht. Allerdings waren die Telekom-Router selbst nicht Teil des Botnetzes, sie wurden lediglich durch die Angriffsversuche lahmgelegt.

Kunden der Telekom müssen seit Montag mit einigen Ausfällen kämpfen. Verantwortlich ist wohl ein Botnetz, das auf dem Code von Mirai basiert. Allerdings waren die Telekom-Router dabei nicht direkt Opfer des Botnetzes. Das zeigt eine Analyse von Ralph-Philipp Weinmann von der Firma Comsecuris.

Anzeige

Botnetz durch Sicherheitslücke in Fernwartungsinterface

In den vergangenen Tagen verbreitete sich massenhaft eine Malware, die eine Sicherheitslücke in der Implementierung der Fernwartungsschnittstellen TR-064 und TR-069 ausnutzte. Diese ließ das Ausführen von beliebigen Linux-Kommandos aus der Ferne zu, die auf dem Routerbetriebssystem ausgeführt werden.

Zwar unterstützen die betroffenen Speedport-Router der Telekom ebenfalls TR-069, einen Service, der auf dem Netzwerkport 7547 läuft. Doch auf den betroffenen Routermodellen - beispielsweise dem Speedport W921V - läuft laut Comsecuris überhaupt kein Linux-System, sondern das Embedded-Betriebssystem RTOS. Damit ist das Einschleusen von Linux-Kommandozeilenbefehlen logischerweise auch nicht möglich. Die Speedport-Router werden von der Telekom nicht selbst produziert, verantwortlich dafür ist bei den betroffenen Modellen die taiwanesische Firma Arcadyan.

Angriffsversuche legen Speedport-Router lahm

Comsecuris konnte beobachten, dass die Router Netzwerkverbindungen verweigerten, nachdem mehrere Angriffsversuche des Mirai-Botnetzes auf dem Router eingegangen waren. Offenbar gibt es auf den Geräten also einen Bug, der dazu führt, dass das Netzwerkrouting auf den Speedport-Geräten durch die Angriffsversuche nicht mehr funktionieren.

Zwar sind die betroffenen Speedport-Geräte von der Script-Injection-Lücke, die das Mirai-Botnetz ausnutzt, nicht betroffen, jedoch schreibt Comsecuris, dass es andere Sicherheitslücken in den Routern gefunden habe. Die Details dazu habe das Unternehmen der Telekom mitgeteilt.

Mirai-Botnetz nutzt Script-Injection-Lücke

Die Sicherheitslücke, die für das Botnetz verantwortlich ist, wurde am 7. November erstmals für einen vom irischen ISP Eir eingesetzten Router beschrieben. Allerdings scheint dieselbe Lücke in einer ganzen Reihe von Geräten vorhanden zu sein, nicht jedoch wie zunächst angenommen in den Speedport-Routern der Telekom.

Fernwartungsprotokoll ohne Authentifizierung 

eye home zur Startseite
sfe (Golem.de) 01. Dez 2016

Bevor das hier noch abrutscht: closed. Sebastian Fels (golem.de)

Themenstart

Jolla 01. Dez 2016

Aber nicht in einem IP Range von dynamisch vergebenen IPs. Das interessiert dort weniger...

Themenstart

Feuerschmied 01. Dez 2016

Vereinfachtes Beispiel Du kaufst ein neues Auto (Router) und fährst Los (steckst an...

Themenstart

tomatentee 01. Dez 2016

Zwischendrim haben sie sich zum Opfer eines der größten "Cyber-Angriffe" aller Zeiten...

Themenstart

tomatentee 01. Dez 2016

Vor dem Hintergrund ist das Kampfgeheul vom Telekom-Timmey schon ziemlich peinlich...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. ESG Elektroniksystem- und Logistik-GmbH, Garching bei München
  2. Garmin Würzburg GmbH, Würzburg
  3. ATS Gesellschaft für angewandte technische Systeme mbH, Korbach
  4. Pearson Deutschland GmbH, Hallbergmoos Raum München


Anzeige
Spiele-Angebote
  1. (-31%) 8,99€
  2. 5,99€
  3. 4,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Wayland

    Google erstellt Gamepad-Support für Android in Chrome OS

  2. Gabe Newell

    Valve-Chef über neue Spiele und Filme

  3. 5G

    Verizon soll versuchen, Comcast oder Charter zu kaufen

  4. DRAM und Flash

    Toshiba könnte sein Speichergeschäft an WD verkaufen

  5. Satellitennavigation

    Galileo gehen die Uhren aus

  6. Shield TV (2017) im Test

    Nvidias sonderbare Neuauflage

  7. Zenimax

    Mark Zuckerberg verteidigt Macher von VR-Brille bei Gericht

  8. Statt Begnadigung

    Snowdens Aufenthalt in Russland verlängert

  9. FAA

    Drohnenbetreiber muss 200.000 US-Dollar Geldstrafe zahlen

  10. Breath of the Wild

    Zelda bietet auf Switch bessere Auflösung und Sounds



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Intel Core i7-7700K im Test: Kaby Lake = Skylake + HEVC + Overclocking
Intel Core i7-7700K im Test
Kaby Lake = Skylake + HEVC + Overclocking
  1. Kaby Lake Intel macht den Pentium dank HT fast zum Core i3
  2. Kaby Lake Refresh Intel plant weitere 14-nm-CPU-Generation
  3. Intel Kaby Lake Vor der Vorstellung schon im Handel

Dienste, Programme und Unternehmen: Was 2016 eingestellt und geschlossen wurde
Dienste, Programme und Unternehmen
Was 2016 eingestellt und geschlossen wurde
  1. Kabel Mietminderung wegen defektem Internetkabel zulässig
  2. Grundversorgung Kanada macht Drosselung illegal
  3. Internetzugänge 50 MBit/s günstiger als 16 MBit/s

GPD Win im Test: Crysis in der Hosentasche
GPD Win im Test
Crysis in der Hosentasche
  1. PowerVR Series 8XE Plus Imgtechs Smartphone-GPUs erhalten ein Leistungsplus
  2. Project CSX ZTEs Community-Smartphone kommt nicht gut an
  3. Tastaturhülle Canopy hält Magic Keyboard und iPad zum Arbeiten zusammen

  1. Re: Hab ich was verpasst?

    Garius | 15:10

  2. Re: Ein Trauerspiel

    IncredibleAlk | 15:10

  3. Re: Sabotage

    jsm | 15:09

  4. Re: nur 8GB speicher nicht direkt erweiterbar bei...

    motzerator | 15:09

  5. Re: Unterstützen

    timo.w.strauss | 15:09


  1. 14:15

  2. 13:48

  3. 13:01

  4. 12:46

  5. 12:31

  6. 12:10

  7. 11:54

  8. 11:36


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel