Abo
  • Services:

Security: Fernwartungsserver in Deutschland sicher

Gegenüber Heise haben mehrere große deutsche Provider erklärt, dass ihre Fernwartungsserver sicher seien. Zuvor hatten Datenexperten Sicherheitslücken im Fernwartungsprotokoll TR-069 im Nahen Osten entdeckt.

Artikel veröffentlicht am ,
Die Fernwartungsserver zahlreicher Provider in Deutschland sollen sicher sein.
Die Fernwartungsserver zahlreicher Provider in Deutschland sollen sicher sein. (Bild: Broadband Forum)

Die Deutsche Telekom, Vodafone, Telefónica, 1&1, Unitymedia KabelBW, M-net, EWE-TEL und Tele Columbus haben gegenüber Heise angegeben, ihre Fernwartungsserver seien von der jüngst entdeckten Sicherheitslücke im TR-069-Protokoll nicht betroffen. Dazu wollen sie mit "gezielten Maßnahmen" verhindern, dass Hacker die Fernwartungsserver angreifen können. Lediglich Tele Columbus gab an, das Protokoll nicht zu verwenden.

Stellenmarkt
  1. Bosch Gruppe, Hildesheim
  2. Stuttgarter Straßenbahnen AG, Stuttgart

Zu dem Schutz vor Übergriffen akzeptieren die meisten der von Providern zur Verfügung gestellten Router einen Zugriff von Fernwartungsservern mit selbst signierten Zertifikaten. Andere Endgeräte würden den Hostnamen der Server verifizieren. Die Router der Telekom würden nur auf Server zugreifen, die in den Geräten eingetragen seien, berichtet Heise. Auf deren Geräten sowie denen von 1 & 1 und EWE-TEL bereitgestellten Geräten könne zudem die Fernwartung über die Konfigurationsschnittstelle abgeschaltet werden.

Weil die Provider über die Fernwartungsschnittstelle Firmware-Updates verteilen, die auch kritische Sicherheitslücken schließen, raten sie aber davon ab, die Schnittstelle zu deaktivieren.

Schwachstellen könnten Tausende Geräte gefährden

Der Sicherheitsexperte Shahar Tal hatte auf der Def Con 22 Schwachstellen in der Software auf den sogenannten ACS (Automatic Configuration Server) entdeckt, die unter anderem Firmware-Updates an Router verteilt. Die betroffenen ACS-Server entdeckte Tal im Mittleren Osten. Dort lief die Open-Source-Software OpenACS und GenieACS. Beide hatten Schwachstellen, über die beliebiger Code auf einem Server ausgeführt werden könnte. Bei GenieACS konnte Tal den Code sogar mit Root-Rechten ausführen.

Die ACS hat Tal über den Port 7545 aufgespürt, der für das Protokoll TR-069 bereitgestellt wird. Im TR-069-Protokoll sei zwar eine TLS-Verbindung spezifiziert, sie sei aber nicht zwingend, so Tal. Bei 81 Prozent der durch Tal untersuchten Server werde eine unverschlüsselte Verbindung verwendet. Außerdem entdeckte Tal, dass einige Router beliebige TLS-Zertifikate akzeptieren, so dass sie auch bei verschlüsselten Verbindungen angreifbar wären. Das ist nach den Aussagen im Bericht von Heise in Deutschland nicht möglich.

Nachtrag vom 22. August 2014, 13:15 Uhr

Kabel Deutschland verwendet nach eigenen Aussagen das Fernwartungsprotokoll TR-069 nicht für seine Router oder Modems. Stattdessen werden laut Unternehmen Firmware-Updates über EuroDOCSIS und Euro Packet Cable verteilt. Die Schnittstelle Data Over Cable Service Interface Specification (DOCSIS) beinhaltet zusätzlich die verschlüsselte OSI-Schicht Media Access Control (MAC), über die der Provider auf Endgeräte zugreift.



Anzeige
Blu-ray-Angebote
  1. (2 Monate Sky Ticket für nur 4,99€)
  2. 9,99€

Yes!Yes!Yes! 22. Aug 2014

Ähm? Die Telekom weiß aber schon, dass genau das ja TR-069 ist? Jeder Router kann nur auf...

JouMxyzptlk 22. Aug 2014

Naja, heise muss ja auch mal schneller als Golem sein, sonst ist es meist anders herum.

medokin 22. Aug 2014

Just Nope...


Folgen Sie uns
       


Golem.de spielt die Battlefield 5 Closed Alpha

Zwölf Stunden haben wir in der Closed Alpha des kommenden Shooters im Zweiten Weltkrieg Battlefield 5 verbracht - Zeit für eine erste Analyse der Änderungen.

Golem.de spielt die Battlefield 5 Closed Alpha Video aufrufen
Disenchantment angeschaut: Fantasy-Kurzweil vom Simpsons-Schöpfer
Disenchantment angeschaut
Fantasy-Kurzweil vom Simpsons-Schöpfer

Mit den Simpsons ist er selbst Kult geworden, und Nachfolger Futurama hat nicht nur Sci-Fi-Nerds mit einem Auge für verschlüsselte Gags im Bildhintergrund begeistert. Bei Netflix folgt nun Matt Groenings Cartoonserie Disenchantment, die uns trotz liebenswerter Hauptfiguren in Märchenkulissen allerdings nicht ganz zu verzaubern weiß.
Eine Rezension von Daniel Pook

  1. Streaming Wachstum beim Pay-TV dank Netflix und Amazon
  2. Videostreaming Netflix soll am Fernseher übersichtlicher werden
  3. Quartalsbericht Netflix verfehlt eigene Prognosen um 1 Million Neukunden

IT-Jobs: Achtung! Agiler Coach gesucht?
IT-Jobs
Achtung! Agiler Coach gesucht?

Überall werden sie gesucht, um den digitalen Wandel voranzutreiben: agile Coaches. In den Jobbeschreibungen warten spannende Aufgaben, jedoch müssen Bewerber aufpassen, dass sie die richtigen Fragen stellen, wenn sie etwas bewegen möchten.
Von Marvin Engel

  1. Wework Die Kaffeeautomatisierung des Lebens
  2. IT-Jobs Fünf neue Mitarbeiter in fünf Wochen?
  3. Frauen in IT-Berufen Programmierte Klischees

Smartphone von Gigaset: Made in Bocholt
Smartphone von Gigaset
Made in Bocholt

Gigaset baut sein Smartphone GS185 in Bocholt - und verpasst dem Gerät trotz kompletter Anlieferung von Teilen aus China das Label "Made in Germany". Der Fokus auf die Region ist aber vorhanden, eine erweiterte Fertigung durchaus eine Option. Wir haben uns das Werk angeschaut.
Ein Bericht von Tobias Költzsch

  1. Bocholt Gigaset baut Smartphone in Deutschland

    •  /