Abo
  • Services:
Anzeige
Die Fernwartungsserver zahlreicher Provider in Deutschland sollen sicher sein.
Die Fernwartungsserver zahlreicher Provider in Deutschland sollen sicher sein. (Bild: Broadband Forum)

Security: Fernwartungsserver in Deutschland sicher

Gegenüber Heise haben mehrere große deutsche Provider erklärt, dass ihre Fernwartungsserver sicher seien. Zuvor hatten Datenexperten Sicherheitslücken im Fernwartungsprotokoll TR-069 im Nahen Osten entdeckt.

Anzeige

Die Deutsche Telekom, Vodafone, Telefónica, 1&1, Unitymedia KabelBW, M-net, EWE-TEL und Tele Columbus haben gegenüber Heise angegeben, ihre Fernwartungsserver seien von der jüngst entdeckten Sicherheitslücke im TR-069-Protokoll nicht betroffen. Dazu wollen sie mit "gezielten Maßnahmen" verhindern, dass Hacker die Fernwartungsserver angreifen können. Lediglich Tele Columbus gab an, das Protokoll nicht zu verwenden.

Zu dem Schutz vor Übergriffen akzeptieren die meisten der von Providern zur Verfügung gestellten Router einen Zugriff von Fernwartungsservern mit selbst signierten Zertifikaten. Andere Endgeräte würden den Hostnamen der Server verifizieren. Die Router der Telekom würden nur auf Server zugreifen, die in den Geräten eingetragen seien, berichtet Heise. Auf deren Geräten sowie denen von 1 & 1 und EWE-TEL bereitgestellten Geräten könne zudem die Fernwartung über die Konfigurationsschnittstelle abgeschaltet werden.

Weil die Provider über die Fernwartungsschnittstelle Firmware-Updates verteilen, die auch kritische Sicherheitslücken schließen, raten sie aber davon ab, die Schnittstelle zu deaktivieren.

Schwachstellen könnten Tausende Geräte gefährden

Der Sicherheitsexperte Shahar Tal hatte auf der Def Con 22 Schwachstellen in der Software auf den sogenannten ACS (Automatic Configuration Server) entdeckt, die unter anderem Firmware-Updates an Router verteilt. Die betroffenen ACS-Server entdeckte Tal im Mittleren Osten. Dort lief die Open-Source-Software OpenACS und GenieACS. Beide hatten Schwachstellen, über die beliebiger Code auf einem Server ausgeführt werden könnte. Bei GenieACS konnte Tal den Code sogar mit Root-Rechten ausführen.

Die ACS hat Tal über den Port 7545 aufgespürt, der für das Protokoll TR-069 bereitgestellt wird. Im TR-069-Protokoll sei zwar eine TLS-Verbindung spezifiziert, sie sei aber nicht zwingend, so Tal. Bei 81 Prozent der durch Tal untersuchten Server werde eine unverschlüsselte Verbindung verwendet. Außerdem entdeckte Tal, dass einige Router beliebige TLS-Zertifikate akzeptieren, so dass sie auch bei verschlüsselten Verbindungen angreifbar wären. Das ist nach den Aussagen im Bericht von Heise in Deutschland nicht möglich.

Nachtrag vom 22. August 2014, 13:15 Uhr

Kabel Deutschland verwendet nach eigenen Aussagen das Fernwartungsprotokoll TR-069 nicht für seine Router oder Modems. Stattdessen werden laut Unternehmen Firmware-Updates über EuroDOCSIS und Euro Packet Cable verteilt. Die Schnittstelle Data Over Cable Service Interface Specification (DOCSIS) beinhaltet zusätzlich die verschlüsselte OSI-Schicht Media Access Control (MAC), über die der Provider auf Endgeräte zugreift.


eye home zur Startseite
Yes!Yes!Yes! 22. Aug 2014

Ähm? Die Telekom weiß aber schon, dass genau das ja TR-069 ist? Jeder Router kann nur auf...

JouMxyzptlk 22. Aug 2014

Naja, heise muss ja auch mal schneller als Golem sein, sonst ist es meist anders herum.

medokin 22. Aug 2014

Just Nope...



Anzeige

Stellenmarkt
  1. Deloitte, Berlin, Düsseldorf, Frankfurt, Hamburg, München
  2. Vodafone GmbH, Düsseldorf
  3. Schaeffler Technologies AG & Co. KG, Nürnberg
  4. BASF Business Services GmbH, Ludwigshafen


Anzeige
Hardware-Angebote
  1. bei Alternate

Folgen Sie uns
       


  1. Mixed Reality

    Microsoft verdoppelt Sichtfeld der Hololens

  2. Nvidia

    Shield TV ohne Controller kostet 200 Euro

  3. Die Woche im Video

    Wegen Krack wie auf Crack!

  4. Windows 10

    Fall Creators Update macht Ryzen schneller

  5. Gesundheitskarte

    T-Systems will Konnektor bald ausliefern

  6. Galaxy Tab Active 2

    Samsungs neues Ruggedized-Tablet kommt mit S-Pen

  7. Jaxa

    Japanische Forscher finden riesige Höhle im Mond

  8. Deep Descent

    Aquanox lädt in Tiefsee-Beta

  9. Android-Apps

    Google belohnt Fehlersuche im Play Store

  10. Depublizierung

    7-Tage-Löschfrist für ARD und ZDF im Internet fällt weg



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
ZFS ausprobiert: Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
ZFS ausprobiert
Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
  1. Librem 5 Purism zeigt Funktionsprototyp für freies Linux-Smartphone
  2. Pipewire Fedora bekommt neues Multimedia-Framework
  3. Linux-Desktops Gnome 3.26 räumt die Systemeinstellungen auf

Verschlüsselung: Niemand hat die Absicht, TLS zu knacken
Verschlüsselung
Niemand hat die Absicht, TLS zu knacken
  1. TLS-Zertifikate Zertifizierungsstellen müssen CAA-Records prüfen
  2. Apache-Lizenz 2.0 OpenSSL-Lizenzwechsel führt zu Code-Entfernungen
  3. Certificate Transparency Webanwendungen hacken, bevor sie installiert sind

Zotac Zbox PI225 im Test: Der Kreditkarten-Rechner
Zotac Zbox PI225 im Test
Der Kreditkarten-Rechner

  1. Re: Katastrophale UX

    schluchtenhacker | 14:26

  2. Re: Globale Menüleiste

    BLi8819 | 14:21

  3. Re: Nachtrag: Re: Wolkenkukuksheim? Re: FALSCH...

    bombinho | 14:15

  4. Re: Herausforderung bei Mixed Reality / AR

    xmaniac | 14:11

  5. Re: Wieso?

    Spiritogre | 14:04


  1. 13:05

  2. 11:59

  3. 09:03

  4. 22:38

  5. 18:00

  6. 17:47

  7. 16:54

  8. 16:10


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel