Abo
  • Services:

Botnetz: Telekom-Routerausfälle waren nur Kollateralschaden

Eine Variante des Mirai-Botnetzes auf Routern hat zahlreiche Ausfälle bei Telekom-Kunden verursacht. Allerdings waren die Telekom-Router selbst nicht Teil des Botnetzes, sie wurden lediglich durch die Angriffsversuche lahmgelegt.

Artikel veröffentlicht am , Hanno Böck
Script-Injection über einen SOAP-XML-Call - so verbreitet sich die neue Variante des Mirai-Botnetzes.
Script-Injection über einen SOAP-XML-Call - so verbreitet sich die neue Variante des Mirai-Botnetzes. (Bild: Screenshot Golem.de)

Kunden der Telekom müssen seit Montag mit einigen Ausfällen kämpfen. Verantwortlich ist wohl ein Botnetz, das auf dem Code von Mirai basiert. Allerdings waren die Telekom-Router dabei nicht direkt Opfer des Botnetzes. Das zeigt eine Analyse von Ralph-Philipp Weinmann von der Firma Comsecuris.

Botnetz durch Sicherheitslücke in Fernwartungsinterface

Inhalt:
  1. Botnetz: Telekom-Routerausfälle waren nur Kollateralschaden
  2. Fernwartungsprotokoll ohne Authentifizierung

In den vergangenen Tagen verbreitete sich massenhaft eine Malware, die eine Sicherheitslücke in der Implementierung der Fernwartungsschnittstellen TR-064 und TR-069 ausnutzte. Diese ließ das Ausführen von beliebigen Linux-Kommandos aus der Ferne zu, die auf dem Routerbetriebssystem ausgeführt werden.

Zwar unterstützen die betroffenen Speedport-Router der Telekom ebenfalls TR-069, einen Service, der auf dem Netzwerkport 7547 läuft. Doch auf den betroffenen Routermodellen - beispielsweise dem Speedport W921V - läuft laut Comsecuris überhaupt kein Linux-System, sondern das Embedded-Betriebssystem RTOS. Damit ist das Einschleusen von Linux-Kommandozeilenbefehlen logischerweise auch nicht möglich. Die Speedport-Router werden von der Telekom nicht selbst produziert, verantwortlich dafür ist bei den betroffenen Modellen die taiwanesische Firma Arcadyan.

Angriffsversuche legen Speedport-Router lahm

Comsecuris konnte beobachten, dass die Router Netzwerkverbindungen verweigerten, nachdem mehrere Angriffsversuche des Mirai-Botnetzes auf dem Router eingegangen waren. Offenbar gibt es auf den Geräten also einen Bug, der dazu führt, dass das Netzwerkrouting auf den Speedport-Geräten durch die Angriffsversuche nicht mehr funktionieren.

Stellenmarkt
  1. Infokom GmbH, Karlsruhe
  2. Nordkurier Logistik Berlin GmbH & Co. KG, Berlin

Zwar sind die betroffenen Speedport-Geräte von der Script-Injection-Lücke, die das Mirai-Botnetz ausnutzt, nicht betroffen, jedoch schreibt Comsecuris, dass es andere Sicherheitslücken in den Routern gefunden habe. Die Details dazu habe das Unternehmen der Telekom mitgeteilt.

Mirai-Botnetz nutzt Script-Injection-Lücke

Die Sicherheitslücke, die für das Botnetz verantwortlich ist, wurde am 7. November erstmals für einen vom irischen ISP Eir eingesetzten Router beschrieben. Allerdings scheint dieselbe Lücke in einer ganzen Reihe von Geräten vorhanden zu sein, nicht jedoch wie zunächst angenommen in den Speedport-Routern der Telekom.

Fernwartungsprotokoll ohne Authentifizierung 
  1. 1
  2. 2
  3.  


Anzeige
Blu-ray-Angebote
  1. 34,99€

Reichler 22. Jan 2017

Probleme mit WLAN/Internet Hello, ich weiss nicht ob ich da richtig bin, aber ich brauche...

sfe (Golem.de) 01. Dez 2016

Bevor das hier noch abrutscht: closed. Sebastian Fels (golem.de)

Jolla 01. Dez 2016

Aber nicht in einem IP Range von dynamisch vergebenen IPs. Das interessiert dort weniger...

Feuerschmied 01. Dez 2016

Vereinfachtes Beispiel Du kaufst ein neues Auto (Router) und fährst Los (steckst an...

tomatentee 01. Dez 2016

Zwischendrim haben sie sich zum Opfer eines der größten "Cyber-Angriffe" aller Zeiten...


Folgen Sie uns
       


Shadow of the Tomb Raider - Golem.de live Teil 2

In Teil 2 des Livestreams zu Shadow of the Tomb Raider finden wir lustige Grafikfehler und der Chat trinkt zu viel Bier, kann Michael aber trotzdem bei einigen Rätseln helfen.

Shadow of the Tomb Raider - Golem.de live Teil 2 Video aufrufen
Apple: iPhone Xs und iPhone Xs Max sind bierdicht
Apple
iPhone Xs und iPhone Xs Max sind bierdicht

Apple verdoppelt das iPhone X. Das Modell iPhone Xs mit 5,8 Zoll großem Display ist der Nachfolger des iPhone X und das iPhone Xs Max ist ein Plus-Modell mit 6,5 Zoll großem Display. Die Gehäuse sind sogar salzwasserfest und überstehen auch Bäder in anderen Flüssigkeiten.

  1. Apple iPhone 3GS wird in Südkorea wieder verkauft
  2. Drosselung beim iPhone Apple zahlt Kunden Geld für Akkutausch zurück
  3. NFC Yubikeys arbeiten ab sofort mit dem iPhone zusammen

iPhone Xs, Xs Max und Xr: Wer unterstützt die eSIM in den neuen iPhones?
iPhone Xs, Xs Max und Xr
Wer unterstützt die eSIM in den neuen iPhones?

Apples neue iPhones haben neben dem Nano-SIM-Slot eine eingebaute eSIM, womit der Konzern erstmals eine Dual-SIM-Lösung in seinen Smartphones realisiert. Die Auswahl an Netzanbietern, die eSIMs unterstützen, ist in Deutschland, Österreich und der Schweiz aber eingeschränkt - ein Überblick.
Von Tobias Költzsch

  1. Apple Das iPhone Xr macht's billiger und bunter
  2. Apple iPhones sollen Stiftunterstützung erhalten
  3. XMM 7560 Intel startet Serienfertigung für iPhone-Modem

Segelflug: Die Höhenflieger
Segelflug
Die Höhenflieger

In einem Experimental-Segelflugzeug von Airbus wollen Flugenthusiasten auf gigantischen Luftwirbeln am Rande der Antarktis fast 30 Kilometer hoch aufsteigen - ganz ohne Motor. An Bord sind Messinstrumente, die neue und unverfälschte Daten für die Klimaforschung liefern.
Ein Bericht von Daniel Hautmann

  1. Luftfahrt Nasa testet leise Überschallflüge
  2. Low-Boom Flight Demonstrator Lockheed baut leises Überschallflugzeug
  3. Elektroflieger Norwegen will elektrisch fliegen

    •  /