Abo
  • Services:

Fernwartungsprotokoll ohne Authentifizierung

Auf Port 7547 lauscht auf diesen Routern ein Webserver, der die beiden Protokolle TR-069 und TR-064 implementiert. TR-069 ist ein Fernwartungsprotokoll, mit dem Internet-Service-Provider Einstellungen an den Routern ihrer Kunden vornehmen können. Das Protokoll TR-064 ist eigentlich nur für die Konfiguration von Geräten in lokalen Netzwerken vorgesehen. Dass es auf einem vom Internet aus zugänglichen Port aktiviert ist, ist auf jeden Fall ein Fehler. Befehle für diese Protokolle werden als HTTP-POST-Request mittels eines SOAP-Datenformats gesendet.

Stellenmarkt
  1. Lachmann & Rink GmbH, Freudenberg und Dortmund
  2. Gesellschaft für Anlagen- und Reaktorsicherheit (GRS) gGmbH, Köln

Im Fall der betroffenen Router kann man TR-064 ohne jede Authentifizierung nutzen. Das alleine ist schon problematisch, man könnte etwa einen anderen DNS-Server oder Router konfigurieren. Doch eine Funktion in diesen Routern hat eine zusätzliche Script-Injection-Sicherheitslücke: Die Funktion "SetNTPServer", mit der man Zeitserver für den Router konfigurieren kann, ermöglicht es, in Backticks eingebettete Befehle zu schicken, die dann auf dem betroffenen System ausgeführt werden.

Angriffe auf Port 7547

Mittels dieser Skript-Injection-Lücke verbreitet sich die Botnetz-Malware. Das lässt sich relativ simpel beobachten: Wer auf einer öffentlich zugänglichen IP den Port 7547 öffnet, etwa mithilfe des Tools Netcat, wird bereits nach wenigen Minuten Angriffsversuche sehen. Mittels der beschriebenen Skript-Injection-Lücke wird versucht, eine Datei per wget von einem Kontrollserver herunterzuladen und auszuführen.

Die heruntergeladene Datei mit dem schlichten Dateinamen "1" enthält Code für MIPS-Prozessoren. Doch weitere Dateien mit den Namen 2, 3, 4 und 6 lassen sich ebenfalls herunterladen und enthalten Code für verschiedene andere Prozessorarchitekturen. Manche Angriffe laden offenbar ein Skript herunter, das die verschiedenen Varianten alle ausprobiert. Die Malware versucht also anscheinend, sehr unterschiedliche Systeme zu infizieren. Auf infizierten Geräten schließt die Malware den Port 7547 sofort mittels iptables.

TR-069 macht nicht zum ersten Mal Ärger

Die Fernwartungsschnittstelle TR-069 war bereits vor zwei Jahren Angriffspunkt für eine Sicherheitslücke. Eine Lücke namens Misfortune Cookie konnte in einer uralten Webserver-Software ausgenutzt werden. Allerdings handelt es sich dabei um ein von der aktuellen Sicherheitslücke völlig unabhängiges Problem.

Generell erscheint es sehr problematisch, dass Router überhaupt für die Wartung durch den Internet-Service-Provider Ports nach außen öffnen, denn derartige Services bieten immer eine große Angriffsfläche. Selbst wenn man generell die Wartung von außen ermöglichen möchte, wäre es sinnvoller, wenn die Router von sich aus eine Verbindung zu einem Service-Server aufbauen würden.

Nachtrag vom 30. November 2016, 10:15 Uhr

Ursprünglich hatten wir berichtet, dass die Speedport-Router der Telekom selbst Teil eines Botnetzes seien. Das hat sich aufgrund der Recherchen von Comsecuris als falsch erwiesen. Wir haben den Artikel entsprechend angepasst.

 Botnetz: Telekom-Routerausfälle waren nur Kollateralschaden
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de

Reichler 22. Jan 2017

Probleme mit WLAN/Internet Hello, ich weiss nicht ob ich da richtig bin, aber ich brauche...

sfe (Golem.de) 01. Dez 2016

Bevor das hier noch abrutscht: closed. Sebastian Fels (golem.de)

Jolla 01. Dez 2016

Aber nicht in einem IP Range von dynamisch vergebenen IPs. Das interessiert dort weniger...

Feuerschmied 01. Dez 2016

Vereinfachtes Beispiel Du kaufst ein neues Auto (Router) und fährst Los (steckst an...

tomatentee 01. Dez 2016

Zwischendrim haben sie sich zum Opfer eines der größten "Cyber-Angriffe" aller Zeiten...


Folgen Sie uns
       


Huawei P30 Pro - Hands on

Das P30 Pro ist Huaweis jüngstes Top-Smartphone, das erstmals mit einem Teleobjektiv mit Fünffachvergrößerung kommt. Im ersten Kurztest macht die Kamera mit neu entwickeltem Bildsensor einen guten Eindruck.

Huawei P30 Pro - Hands on Video aufrufen
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck

  1. Urheberrecht Axel-Springer-Verlag klagt erneut gegen Adblocker
  2. Whitelisting erlaubt Kartellamt hält Adblocker-Nutzung für "nachvollziehbar"
  3. Firefox Klar Mozilla testet offenbar Adblocker

Swobbee: Der Wechselakku kommt wieder
Swobbee
Der Wechselakku kommt wieder

Mieten statt kaufen, wechseln statt laden: Das Berliner Startup Swobbee baut eine Infrastruktur mit Lade- und Tauschstationen für Akkus auf. Ein ähnliches Geschäftsmodell ist schon einmal gescheitert. Dieses kann jedoch aufgehen.
Eine Analyse von Werner Pluta

  1. Elektromobilität Seoul will Zweirad-Kraftfahrzeuge und Minibusse austauschen
  2. Rechtsanspruch auf Wallboxen Wohnungswirtschaft warnt vor "Schnellschuss" bei WEG-Reform
  3. Innolith Energy Battery Schweizer Unternehmen entwickelt sehr leistungsfähigen Akku

Jobporträt: Wenn die Software für den Anwalt kurzen Prozess macht
Jobporträt
Wenn die Software für den Anwalt kurzen Prozess macht

IT-Anwalt Christian Solmecke arbeitet an einer eigenen Jura-Software, die sogar automatisch auf Urheberrechtsabmahnungen antworten kann. Dass er sich damit seiner eigenen Arbeit beraubt, glaubt er nicht. Denn die KI des Programms braucht noch Betreuung.
Von Maja Hoock

  1. Struktrurwandel IT soll jetzt die Kohle nach Cottbus bringen
  2. IT-Jobporträt Spieleprogrammierer "Ich habe mehr Code gelöscht als geschrieben"
  3. Recruiting Wenn die KI passende Mitarbeiter findet

    •  /