Botnetz: Telekom-Routerausfälle waren nur Kollateralschaden

Eine Variante des Mirai-Botnetzes auf Routern hat zahlreiche Ausfälle bei Telekom-Kunden verursacht. Allerdings waren die Telekom-Router selbst nicht Teil des Botnetzes, sie wurden lediglich durch die Angriffsversuche lahmgelegt.

Artikel veröffentlicht am , Hanno Böck
Script-Injection über einen SOAP-XML-Call - so verbreitet sich die neue Variante des Mirai-Botnetzes.
Script-Injection über einen SOAP-XML-Call - so verbreitet sich die neue Variante des Mirai-Botnetzes. (Bild: Screenshot Golem.de)

Kunden der Telekom müssen seit Montag mit einigen Ausfällen kämpfen. Verantwortlich ist wohl ein Botnetz, das auf dem Code von Mirai basiert. Allerdings waren die Telekom-Router dabei nicht direkt Opfer des Botnetzes. Das zeigt eine Analyse von Ralph-Philipp Weinmann von der Firma Comsecuris.

Botnetz durch Sicherheitslücke in Fernwartungsinterface

Inhalt:
  1. Botnetz: Telekom-Routerausfälle waren nur Kollateralschaden
  2. Fernwartungsprotokoll ohne Authentifizierung

In den vergangenen Tagen verbreitete sich massenhaft eine Malware, die eine Sicherheitslücke in der Implementierung der Fernwartungsschnittstellen TR-064 und TR-069 ausnutzte. Diese ließ das Ausführen von beliebigen Linux-Kommandos aus der Ferne zu, die auf dem Routerbetriebssystem ausgeführt werden.

Zwar unterstützen die betroffenen Speedport-Router der Telekom ebenfalls TR-069, einen Service, der auf dem Netzwerkport 7547 läuft. Doch auf den betroffenen Routermodellen - beispielsweise dem Speedport W921V - läuft laut Comsecuris überhaupt kein Linux-System, sondern das Embedded-Betriebssystem RTOS. Damit ist das Einschleusen von Linux-Kommandozeilenbefehlen logischerweise auch nicht möglich. Die Speedport-Router werden von der Telekom nicht selbst produziert, verantwortlich dafür ist bei den betroffenen Modellen die taiwanesische Firma Arcadyan.

Angriffsversuche legen Speedport-Router lahm

Comsecuris konnte beobachten, dass die Router Netzwerkverbindungen verweigerten, nachdem mehrere Angriffsversuche des Mirai-Botnetzes auf dem Router eingegangen waren. Offenbar gibt es auf den Geräten also einen Bug, der dazu führt, dass das Netzwerkrouting auf den Speedport-Geräten durch die Angriffsversuche nicht mehr funktionieren.

Stellenmarkt
  1. Fullstack Entwickler (m/w/d)
    Pfalzwerke Aktiengesellschaft, Ludwigshafen
  2. Data Analyst (m/w/d) Engineering Support / Maschinenbau
    NVL B.V. & Co. KG, Bremen, Lemwerder
Detailsuche

Zwar sind die betroffenen Speedport-Geräte von der Script-Injection-Lücke, die das Mirai-Botnetz ausnutzt, nicht betroffen, jedoch schreibt Comsecuris, dass es andere Sicherheitslücken in den Routern gefunden habe. Die Details dazu habe das Unternehmen der Telekom mitgeteilt.

Mirai-Botnetz nutzt Script-Injection-Lücke

Die Sicherheitslücke, die für das Botnetz verantwortlich ist, wurde am 7. November erstmals für einen vom irischen ISP Eir eingesetzten Router beschrieben. Allerdings scheint dieselbe Lücke in einer ganzen Reihe von Geräten vorhanden zu sein, nicht jedoch wie zunächst angenommen in den Speedport-Routern der Telekom.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Fernwartungsprotokoll ohne Authentifizierung 
  1. 1
  2. 2
  3.  


Reichler 22. Jan 2017

Probleme mit WLAN/Internet Hello, ich weiss nicht ob ich da richtig bin, aber ich brauche...

sfe (Golem.de) 01. Dez 2016

Bevor das hier noch abrutscht: closed. Sebastian Fels (golem.de)

Jolla 01. Dez 2016

Aber nicht in einem IP Range von dynamisch vergebenen IPs. Das interessiert dort weniger...

Feuerschmied 01. Dez 2016

Vereinfachtes Beispiel Du kaufst ein neues Auto (Router) und fährst Los (steckst an...



Aktuell auf der Startseite von Golem.de
Optibike
E-Bike mit 480 km Reichweite kostet 17.000 Euro

Das E-Bike Optibike R22 Everest setzt mit seinen zwei Akkus auf Reichweite.

Optibike: E-Bike mit 480 km Reichweite kostet 17.000 Euro
Artikel
  1. Krypto-Kriminalität: Behörden fahnden nach Onecoin-Betrügerin
    Krypto-Kriminalität
    Behörden fahnden nach Onecoin-Betrügerin

    Deutsche und internationale Behörden suchen nach den Hintermännern und -frauen von Onecoin. Der Schaden durch Betrug mit der vermeintlichen Kryptowährung geht in die Milliarden.

  2. Hassrede: Bayern will soziale Netzwerke bestrafen
    Hassrede
    Bayern will soziale Netzwerke bestrafen

    Der bayrische Justizminister fordert, bei der Verbreitung von Hassrede auch die Betreiber von sozialen Medien stärker zur Verantwortung zu ziehen.

  3. Prehistoric Planet: Danke, Apple, für so grandiose Dinosaurier!
    Prehistoric Planet
    Danke, Apple, für so grandiose Dinosaurier!

    Musik von Hans Zimmer, dazu David Attenborough als Sprecher: Apples Prehistoric Planet hat einen Kindheitstraum zum Leben erweckt.
    Ein IMHO von Marc Sauter

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung 870 QVO 1 TB 79€ • Prime Video: Filme leihen für 0,99€ • Alternate (u. a. Recaro Rae Essential 429€) • Gigabyte RTX 3080 12 GB ab 1.024€ • Mindstar (u. a. AMD Ryzen 5 5600 179€, Palit RTX 3070 GamingPro 669€) • SanDisk Ultra microSDXC 256 GB ab 14,99€ • Sackboy 19,99€ [Werbung]
    •  /