• IT-Karriere:
  • Services:

Fernwartungsprotokoll ohne Authentifizierung

Auf Port 7547 lauscht auf diesen Routern ein Webserver, der die beiden Protokolle TR-069 und TR-064 implementiert. TR-069 ist ein Fernwartungsprotokoll, mit dem Internet-Service-Provider Einstellungen an den Routern ihrer Kunden vornehmen können. Das Protokoll TR-064 ist eigentlich nur für die Konfiguration von Geräten in lokalen Netzwerken vorgesehen. Dass es auf einem vom Internet aus zugänglichen Port aktiviert ist, ist auf jeden Fall ein Fehler. Befehle für diese Protokolle werden als HTTP-POST-Request mittels eines SOAP-Datenformats gesendet.

Stellenmarkt
  1. BHS Corrugated Maschinen- und Anlagenbau GmbH, Weiherhammer
  2. Stadtwerke Duisburg AG, Duisburg

Im Fall der betroffenen Router kann man TR-064 ohne jede Authentifizierung nutzen. Das alleine ist schon problematisch, man könnte etwa einen anderen DNS-Server oder Router konfigurieren. Doch eine Funktion in diesen Routern hat eine zusätzliche Script-Injection-Sicherheitslücke: Die Funktion "SetNTPServer", mit der man Zeitserver für den Router konfigurieren kann, ermöglicht es, in Backticks eingebettete Befehle zu schicken, die dann auf dem betroffenen System ausgeführt werden.

Angriffe auf Port 7547

Mittels dieser Skript-Injection-Lücke verbreitet sich die Botnetz-Malware. Das lässt sich relativ simpel beobachten: Wer auf einer öffentlich zugänglichen IP den Port 7547 öffnet, etwa mithilfe des Tools Netcat, wird bereits nach wenigen Minuten Angriffsversuche sehen. Mittels der beschriebenen Skript-Injection-Lücke wird versucht, eine Datei per wget von einem Kontrollserver herunterzuladen und auszuführen.

Die heruntergeladene Datei mit dem schlichten Dateinamen "1" enthält Code für MIPS-Prozessoren. Doch weitere Dateien mit den Namen 2, 3, 4 und 6 lassen sich ebenfalls herunterladen und enthalten Code für verschiedene andere Prozessorarchitekturen. Manche Angriffe laden offenbar ein Skript herunter, das die verschiedenen Varianten alle ausprobiert. Die Malware versucht also anscheinend, sehr unterschiedliche Systeme zu infizieren. Auf infizierten Geräten schließt die Malware den Port 7547 sofort mittels iptables.

TR-069 macht nicht zum ersten Mal Ärger

Die Fernwartungsschnittstelle TR-069 war bereits vor zwei Jahren Angriffspunkt für eine Sicherheitslücke. Eine Lücke namens Misfortune Cookie konnte in einer uralten Webserver-Software ausgenutzt werden. Allerdings handelt es sich dabei um ein von der aktuellen Sicherheitslücke völlig unabhängiges Problem.

Generell erscheint es sehr problematisch, dass Router überhaupt für die Wartung durch den Internet-Service-Provider Ports nach außen öffnen, denn derartige Services bieten immer eine große Angriffsfläche. Selbst wenn man generell die Wartung von außen ermöglichen möchte, wäre es sinnvoller, wenn die Router von sich aus eine Verbindung zu einem Service-Server aufbauen würden.

Nachtrag vom 30. November 2016, 10:15 Uhr

Ursprünglich hatten wir berichtet, dass die Speedport-Router der Telekom selbst Teil eines Botnetzes seien. Das hat sich aufgrund der Recherchen von Comsecuris als falsch erwiesen. Wir haben den Artikel entsprechend angepasst.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Botnetz: Telekom-Routerausfälle waren nur Kollateralschaden
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. (u. a. We Are The Dwarves für 0,75€, Dark Souls: Remastered für 13,99€, Anno 2205 Ultimate...
  2. (u. a. Black+Decker Akku-Schlagbohrschrauber BDCHD18KBST, 18Volt für 99,90€, Hazet...
  3. 29,99€ + 4,99€ Versand oder kostenlose Marktabholung (Bestpreis mit Amazon)

Reichler 22. Jan 2017

Probleme mit WLAN/Internet Hello, ich weiss nicht ob ich da richtig bin, aber ich brauche...

sfe (Golem.de) 01. Dez 2016

Bevor das hier noch abrutscht: closed. Sebastian Fels (golem.de)

Jolla 01. Dez 2016

Aber nicht in einem IP Range von dynamisch vergebenen IPs. Das interessiert dort weniger...

Feuerschmied 01. Dez 2016

Vereinfachtes Beispiel Du kaufst ein neues Auto (Router) und fährst Los (steckst an...

tomatentee 01. Dez 2016

Zwischendrim haben sie sich zum Opfer eines der größten "Cyber-Angriffe" aller Zeiten...


Folgen Sie uns
       


Samsung Galaxy S20 Ultra - Test

Das Galaxy S20 Ultra ist Samsungs Topmodell der Galaxy-S20-Reihe. Der südkoreanische Hersteller verbaut erstmals seinen 108-Megapixel-Kamerasensor - im Test haben wir uns aber mehr davon versprochen.

Samsung Galaxy S20 Ultra - Test Video aufrufen
    •  /