• IT-Karriere:
  • Services:

Fernwartungsprotokoll ohne Authentifizierung

Auf Port 7547 lauscht auf diesen Routern ein Webserver, der die beiden Protokolle TR-069 und TR-064 implementiert. TR-069 ist ein Fernwartungsprotokoll, mit dem Internet-Service-Provider Einstellungen an den Routern ihrer Kunden vornehmen können. Das Protokoll TR-064 ist eigentlich nur für die Konfiguration von Geräten in lokalen Netzwerken vorgesehen. Dass es auf einem vom Internet aus zugänglichen Port aktiviert ist, ist auf jeden Fall ein Fehler. Befehle für diese Protokolle werden als HTTP-POST-Request mittels eines SOAP-Datenformats gesendet.

Stellenmarkt
  1. KfW Bankengruppe, Frankfurt am Main (Home-Office möglich)
  2. Unternehmensgruppe Graf von Oeynhausen-Sierstorpff GmbH & Co. KG Holding, Bad Driburg

Im Fall der betroffenen Router kann man TR-064 ohne jede Authentifizierung nutzen. Das alleine ist schon problematisch, man könnte etwa einen anderen DNS-Server oder Router konfigurieren. Doch eine Funktion in diesen Routern hat eine zusätzliche Script-Injection-Sicherheitslücke: Die Funktion "SetNTPServer", mit der man Zeitserver für den Router konfigurieren kann, ermöglicht es, in Backticks eingebettete Befehle zu schicken, die dann auf dem betroffenen System ausgeführt werden.

Angriffe auf Port 7547

Mittels dieser Skript-Injection-Lücke verbreitet sich die Botnetz-Malware. Das lässt sich relativ simpel beobachten: Wer auf einer öffentlich zugänglichen IP den Port 7547 öffnet, etwa mithilfe des Tools Netcat, wird bereits nach wenigen Minuten Angriffsversuche sehen. Mittels der beschriebenen Skript-Injection-Lücke wird versucht, eine Datei per wget von einem Kontrollserver herunterzuladen und auszuführen.

Die heruntergeladene Datei mit dem schlichten Dateinamen "1" enthält Code für MIPS-Prozessoren. Doch weitere Dateien mit den Namen 2, 3, 4 und 6 lassen sich ebenfalls herunterladen und enthalten Code für verschiedene andere Prozessorarchitekturen. Manche Angriffe laden offenbar ein Skript herunter, das die verschiedenen Varianten alle ausprobiert. Die Malware versucht also anscheinend, sehr unterschiedliche Systeme zu infizieren. Auf infizierten Geräten schließt die Malware den Port 7547 sofort mittels iptables.

TR-069 macht nicht zum ersten Mal Ärger

Die Fernwartungsschnittstelle TR-069 war bereits vor zwei Jahren Angriffspunkt für eine Sicherheitslücke. Eine Lücke namens Misfortune Cookie konnte in einer uralten Webserver-Software ausgenutzt werden. Allerdings handelt es sich dabei um ein von der aktuellen Sicherheitslücke völlig unabhängiges Problem.

Generell erscheint es sehr problematisch, dass Router überhaupt für die Wartung durch den Internet-Service-Provider Ports nach außen öffnen, denn derartige Services bieten immer eine große Angriffsfläche. Selbst wenn man generell die Wartung von außen ermöglichen möchte, wäre es sinnvoller, wenn die Router von sich aus eine Verbindung zu einem Service-Server aufbauen würden.

Nachtrag vom 30. November 2016, 10:15 Uhr

Ursprünglich hatten wir berichtet, dass die Speedport-Router der Telekom selbst Teil eines Botnetzes seien. Das hat sich aufgrund der Recherchen von Comsecuris als falsch erwiesen. Wir haben den Artikel entsprechend angepasst.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Botnetz: Telekom-Routerausfälle waren nur Kollateralschaden
  1.  
  2. 1
  3. 2


Anzeige
Spiele-Angebote
  1. 33,99€
  2. 5,99€
  3. 36,99€

Reichler 22. Jan 2017

Probleme mit WLAN/Internet Hello, ich weiss nicht ob ich da richtig bin, aber ich brauche...

sfe (Golem.de) 01. Dez 2016

Bevor das hier noch abrutscht: closed. Sebastian Fels (golem.de)

Jolla 01. Dez 2016

Aber nicht in einem IP Range von dynamisch vergebenen IPs. Das interessiert dort weniger...

Feuerschmied 01. Dez 2016

Vereinfachtes Beispiel Du kaufst ein neues Auto (Router) und fährst Los (steckst an...

tomatentee 01. Dez 2016

Zwischendrim haben sie sich zum Opfer eines der größten "Cyber-Angriffe" aller Zeiten...


Folgen Sie uns
       


Watch Dogs Legion - Fazit

Mit Legion liefert Ubisoft das bisher mit Abstand beste Watch Dogs ab.

Watch Dogs Legion - Fazit Video aufrufen
AVM Fritzdect Smarthome im Test: Nicht smart kann auch smarter sein
AVM Fritzdect Smarthome im Test
Nicht smart kann auch smarter sein

AVMs Fritz Smarthome nutzt den Dect-Standard, um Lampen und Schalter miteinander zu verbinden. Das geht auch offline im eigenen LAN.
Ein Test von Oliver Nickel

  1. Konkurrenz zu Philips Hue Signify bringt WLAN-Lampen von Wiz auf den Markt
  2. Smarte Kühlschränke Hersteller verschweigen Kundschaft Support-Dauer
  3. Magenta Smart Home Telekom bietet mehr für das kostenlose Angebot

Elektrisches Carsharing: We Share bringt den ID.3 nach Berlin
Elektrisches Carsharing
We Share bringt den ID.3 nach Berlin

Während Share Now seine Elektroautos aus Berlin abgezogen hat, bringt We Share demnächst den ID.3 auf die Straße. Die Ladesituation bleibt angespannt.
Ein Bericht von Friedhelm Greis

  1. Elektroautos Förderprogramm für private Ladestellen gestartet
  2. Verbraucherschützer Einige Elektroautos sind nicht zuverlässig genug
  3. Innovationsprämie Staatliche Förderung drückt Preise gebrauchter E-Autos

iPhone 12 Pro Max im Test: Das Display macht den Hauptunterschied
iPhone 12 Pro Max im Test
Das Display macht den Hauptunterschied

Das iPhone 12 Pro Max ist größer als das 12 Pro und hat eine etwas bessere Kamera - grundsätzlich liegen die beiden Topmodelle von Apple aber nah beieinander, wie unser Test zeigt. Käufer des iPhone 12 Pro müssen keine Angst haben, etwas zu verpassen.
Ein Test von Tobias Költzsch

  1. Apple Bauteile des iPhone 12 kosten 313 Euro
  2. Touchscreen und Hörgeräte iOS 14.2.1 beseitigt iPhone-12-Fehler
  3. iPhone Magsafe ist nicht gleich Magsafe

    •  /