Fernwartungsprotokoll ohne Authentifizierung

Auf Port 7547 lauscht auf diesen Routern ein Webserver, der die beiden Protokolle TR-069 und TR-064 implementiert. TR-069 ist ein Fernwartungsprotokoll, mit dem Internet-Service-Provider Einstellungen an den Routern ihrer Kunden vornehmen können. Das Protokoll TR-064 ist eigentlich nur für die Konfiguration von Geräten in lokalen Netzwerken vorgesehen. Dass es auf einem vom Internet aus zugänglichen Port aktiviert ist, ist auf jeden Fall ein Fehler. Befehle für diese Protokolle werden als HTTP-POST-Request mittels eines SOAP-Datenformats gesendet.

Stellenmarkt
  1. Fachinformatiker (m/w/d)
    Linimed Gruppe GmbH, Jena
  2. Software Product Owner Mechatronic Chassis Systems (m/w/d)
    Schaeffler Technologies AG & Co. KG, Herzogenaurach
Detailsuche

Im Fall der betroffenen Router kann man TR-064 ohne jede Authentifizierung nutzen. Das alleine ist schon problematisch, man könnte etwa einen anderen DNS-Server oder Router konfigurieren. Doch eine Funktion in diesen Routern hat eine zusätzliche Script-Injection-Sicherheitslücke: Die Funktion "SetNTPServer", mit der man Zeitserver für den Router konfigurieren kann, ermöglicht es, in Backticks eingebettete Befehle zu schicken, die dann auf dem betroffenen System ausgeführt werden.

Angriffe auf Port 7547

Mittels dieser Skript-Injection-Lücke verbreitet sich die Botnetz-Malware. Das lässt sich relativ simpel beobachten: Wer auf einer öffentlich zugänglichen IP den Port 7547 öffnet, etwa mithilfe des Tools Netcat, wird bereits nach wenigen Minuten Angriffsversuche sehen. Mittels der beschriebenen Skript-Injection-Lücke wird versucht, eine Datei per wget von einem Kontrollserver herunterzuladen und auszuführen.

Die heruntergeladene Datei mit dem schlichten Dateinamen "1" enthält Code für MIPS-Prozessoren. Doch weitere Dateien mit den Namen 2, 3, 4 und 6 lassen sich ebenfalls herunterladen und enthalten Code für verschiedene andere Prozessorarchitekturen. Manche Angriffe laden offenbar ein Skript herunter, das die verschiedenen Varianten alle ausprobiert. Die Malware versucht also anscheinend, sehr unterschiedliche Systeme zu infizieren. Auf infizierten Geräten schließt die Malware den Port 7547 sofort mittels iptables.

TR-069 macht nicht zum ersten Mal Ärger

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Die Fernwartungsschnittstelle TR-069 war bereits vor zwei Jahren Angriffspunkt für eine Sicherheitslücke. Eine Lücke namens Misfortune Cookie konnte in einer uralten Webserver-Software ausgenutzt werden. Allerdings handelt es sich dabei um ein von der aktuellen Sicherheitslücke völlig unabhängiges Problem.

Generell erscheint es sehr problematisch, dass Router überhaupt für die Wartung durch den Internet-Service-Provider Ports nach außen öffnen, denn derartige Services bieten immer eine große Angriffsfläche. Selbst wenn man generell die Wartung von außen ermöglichen möchte, wäre es sinnvoller, wenn die Router von sich aus eine Verbindung zu einem Service-Server aufbauen würden.

Nachtrag vom 30. November 2016, 10:15 Uhr

Ursprünglich hatten wir berichtet, dass die Speedport-Router der Telekom selbst Teil eines Botnetzes seien. Das hat sich aufgrund der Recherchen von Comsecuris als falsch erwiesen. Wir haben den Artikel entsprechend angepasst.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Botnetz: Telekom-Routerausfälle waren nur Kollateralschaden
  1.  
  2. 1
  3. 2


Aktuell auf der Startseite von Golem.de
Neues Betriebssystem von Microsoft
Wir probieren Windows 11 aus

Windows 11 ist bereits im Umlauf. Wir haben die Vorabversion ausprobiert und ein schickes OS durchstöbert. Im Kern ist es aber Windows 10.
Ein Hands-on von Oliver Nickel

Neues Betriebssystem von Microsoft: Wir probieren Windows 11 aus
Artikel
  1. Niedrige Inzidenzen: Homeoffice-Pflicht soll am 30. Juni enden
    Niedrige Inzidenzen
    Homeoffice-Pflicht soll am 30. Juni enden

    Die allgemeine Pflicht zum Homeoffice soll Ende des Monats fallen. Coronatests sollen aber weiterhin in Betrieben angeboten werden.

  2. Nach Juni 2022: Europäische Union will freies Roaming verlängern
    Nach Juni 2022
    Europäische Union will freies Roaming verlängern

    Die Regelung vom Juni 2017 soll verlängert und verbessert werden. Ein Ende von 'Roam like at home' wäre undenkbar.

  3. Websicherheit: Wie KenFM von Anonymous gehackt wurde
    Websicherheit
    Wie KenFM von Anonymous gehackt wurde

    Die Webseite AnonLeaks berichtet, wie das Defacement von KenFM ablief: durch abrufbare Backupdaten und das Wordpress-Plugin Duplicator Pro.
    Von Hanno Böck

Reichler 22. Jan 2017

Probleme mit WLAN/Internet Hello, ich weiss nicht ob ich da richtig bin, aber ich brauche...

sfe (Golem.de) 01. Dez 2016

Bevor das hier noch abrutscht: closed. Sebastian Fels (golem.de)

Jolla 01. Dez 2016

Aber nicht in einem IP Range von dynamisch vergebenen IPs. Das interessiert dort weniger...

Feuerschmied 01. Dez 2016

Vereinfachtes Beispiel Du kaufst ein neues Auto (Router) und fährst Los (steckst an...

tomatentee 01. Dez 2016

Zwischendrim haben sie sich zum Opfer eines der größten "Cyber-Angriffe" aller Zeiten...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Dualsense Midnight Black + Ratchet & Clank Rift Apart 99,99€ • Saturn Super Sale (u. a. Samsung 65" QLED (2021) 1.294€) • MSI 27" FHD 144Hz 269€ • Razer Naga Pro Gaming-Maus 119,99€ • Apple iPad Pro 12,9" 256GB 909€ [Werbung]
    •  /