• IT-Karriere:
  • Services:

Security: Fernwartungsserver in Deutschland sicher

Gegenüber Heise haben mehrere große deutsche Provider erklärt, dass ihre Fernwartungsserver sicher seien. Zuvor hatten Datenexperten Sicherheitslücken im Fernwartungsprotokoll TR-069 im Nahen Osten entdeckt.

Artikel veröffentlicht am ,
Die Fernwartungsserver zahlreicher Provider in Deutschland sollen sicher sein.
Die Fernwartungsserver zahlreicher Provider in Deutschland sollen sicher sein. (Bild: Broadband Forum)

Die Deutsche Telekom, Vodafone, Telefónica, 1&1, Unitymedia KabelBW, M-net, EWE-TEL und Tele Columbus haben gegenüber Heise angegeben, ihre Fernwartungsserver seien von der jüngst entdeckten Sicherheitslücke im TR-069-Protokoll nicht betroffen. Dazu wollen sie mit "gezielten Maßnahmen" verhindern, dass Hacker die Fernwartungsserver angreifen können. Lediglich Tele Columbus gab an, das Protokoll nicht zu verwenden.

Stellenmarkt
  1. Siedlerkarte GmbH, München
  2. Interhyp Gruppe, München

Zu dem Schutz vor Übergriffen akzeptieren die meisten der von Providern zur Verfügung gestellten Router einen Zugriff von Fernwartungsservern mit selbst signierten Zertifikaten. Andere Endgeräte würden den Hostnamen der Server verifizieren. Die Router der Telekom würden nur auf Server zugreifen, die in den Geräten eingetragen seien, berichtet Heise. Auf deren Geräten sowie denen von 1 & 1 und EWE-TEL bereitgestellten Geräten könne zudem die Fernwartung über die Konfigurationsschnittstelle abgeschaltet werden.

Weil die Provider über die Fernwartungsschnittstelle Firmware-Updates verteilen, die auch kritische Sicherheitslücken schließen, raten sie aber davon ab, die Schnittstelle zu deaktivieren.

Schwachstellen könnten Tausende Geräte gefährden

Der Sicherheitsexperte Shahar Tal hatte auf der Def Con 22 Schwachstellen in der Software auf den sogenannten ACS (Automatic Configuration Server) entdeckt, die unter anderem Firmware-Updates an Router verteilt. Die betroffenen ACS-Server entdeckte Tal im Mittleren Osten. Dort lief die Open-Source-Software OpenACS und GenieACS. Beide hatten Schwachstellen, über die beliebiger Code auf einem Server ausgeführt werden könnte. Bei GenieACS konnte Tal den Code sogar mit Root-Rechten ausführen.

Die ACS hat Tal über den Port 7545 aufgespürt, der für das Protokoll TR-069 bereitgestellt wird. Im TR-069-Protokoll sei zwar eine TLS-Verbindung spezifiziert, sie sei aber nicht zwingend, so Tal. Bei 81 Prozent der durch Tal untersuchten Server werde eine unverschlüsselte Verbindung verwendet. Außerdem entdeckte Tal, dass einige Router beliebige TLS-Zertifikate akzeptieren, so dass sie auch bei verschlüsselten Verbindungen angreifbar wären. Das ist nach den Aussagen im Bericht von Heise in Deutschland nicht möglich.

Nachtrag vom 22. August 2014, 13:15 Uhr

Kabel Deutschland verwendet nach eigenen Aussagen das Fernwartungsprotokoll TR-069 nicht für seine Router oder Modems. Stattdessen werden laut Unternehmen Firmware-Updates über EuroDOCSIS und Euro Packet Cable verteilt. Die Schnittstelle Data Over Cable Service Interface Specification (DOCSIS) beinhaltet zusätzlich die verschlüsselte OSI-Schicht Media Access Control (MAC), über die der Provider auf Endgeräte zugreift.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 34,99€
  2. 12,99€
  3. 20,49€

Yes!Yes!Yes! 22. Aug 2014

Ähm? Die Telekom weiß aber schon, dass genau das ja TR-069 ist? Jeder Router kann nur auf...

JouMxyzptlk 22. Aug 2014

Naja, heise muss ja auch mal schneller als Golem sein, sonst ist es meist anders herum.

medokin 22. Aug 2014

Just Nope...


Folgen Sie uns
       


IT-Freelancer: Der kürzeste Pfad zum nächsten Projekt
IT-Freelancer
Der kürzeste Pfad zum nächsten Projekt

Die Nachfrage nach IT-Freelancern ist groß - die Konkurrenz aber auch. Der nächste Auftrag kommt meist aus dem eigenen Netzwerk oder von Vermittlern. Doch wie findet man den passenden Mix?
Ein Bericht von Manuel Heckel

  1. Selbstständiger Sysadmin "Jetzt fehlen nur noch die Aufträge"

Stellenanzeige: Golem.de sucht CvD (m/w/d)
Stellenanzeige
Golem.de sucht CvD (m/w/d)

Du bist News-Junkie, Techie, Organisationstalent und brennst für den Onlinejournalismus? Dann unterstütze die Redaktion von Golem.de als CvD.

  1. Stellenanzeige Golem.de sucht Verstärkung für die Redaktion
  2. Shifoo Golem.de startet Betatest seiner Karriere-Coaching-Plattform
  3. In eigener Sache Die 24-kernige Golem Workstation ist da

MX 10.0 im Test: Cherrys kompakte, flache, tolle RGB-Tastatur
MX 10.0 im Test
Cherrys kompakte, flache, tolle RGB-Tastatur

Die Cherry MX 10.0 kommt mit besonders flachen MX-Schaltern, ist hervorragend verarbeitet und umfangreich programmierbar. Warum Nutzer in Deutschland noch auf sie warten müssen, ist nach unserem Test unverständlich.
Ein Test von Tobias Költzsch

  1. Argand Partners Cherry wird verkauft

    •  /