Abo
  • IT-Karriere:

Botnetz: Telekom-Routerausfälle waren nur Kollateralschaden

Eine Variante des Mirai-Botnetzes auf Routern hat zahlreiche Ausfälle bei Telekom-Kunden verursacht. Allerdings waren die Telekom-Router selbst nicht Teil des Botnetzes, sie wurden lediglich durch die Angriffsversuche lahmgelegt.

Artikel veröffentlicht am , Hanno Böck
Script-Injection über einen SOAP-XML-Call - so verbreitet sich die neue Variante des Mirai-Botnetzes.
Script-Injection über einen SOAP-XML-Call - so verbreitet sich die neue Variante des Mirai-Botnetzes. (Bild: Screenshot Golem.de)

Kunden der Telekom müssen seit Montag mit einigen Ausfällen kämpfen. Verantwortlich ist wohl ein Botnetz, das auf dem Code von Mirai basiert. Allerdings waren die Telekom-Router dabei nicht direkt Opfer des Botnetzes. Das zeigt eine Analyse von Ralph-Philipp Weinmann von der Firma Comsecuris.

Botnetz durch Sicherheitslücke in Fernwartungsinterface

Inhalt:
  1. Botnetz: Telekom-Routerausfälle waren nur Kollateralschaden
  2. Fernwartungsprotokoll ohne Authentifizierung

In den vergangenen Tagen verbreitete sich massenhaft eine Malware, die eine Sicherheitslücke in der Implementierung der Fernwartungsschnittstellen TR-064 und TR-069 ausnutzte. Diese ließ das Ausführen von beliebigen Linux-Kommandos aus der Ferne zu, die auf dem Routerbetriebssystem ausgeführt werden.

Zwar unterstützen die betroffenen Speedport-Router der Telekom ebenfalls TR-069, einen Service, der auf dem Netzwerkport 7547 läuft. Doch auf den betroffenen Routermodellen - beispielsweise dem Speedport W921V - läuft laut Comsecuris überhaupt kein Linux-System, sondern das Embedded-Betriebssystem RTOS. Damit ist das Einschleusen von Linux-Kommandozeilenbefehlen logischerweise auch nicht möglich. Die Speedport-Router werden von der Telekom nicht selbst produziert, verantwortlich dafür ist bei den betroffenen Modellen die taiwanesische Firma Arcadyan.

Angriffsversuche legen Speedport-Router lahm

Comsecuris konnte beobachten, dass die Router Netzwerkverbindungen verweigerten, nachdem mehrere Angriffsversuche des Mirai-Botnetzes auf dem Router eingegangen waren. Offenbar gibt es auf den Geräten also einen Bug, der dazu führt, dass das Netzwerkrouting auf den Speedport-Geräten durch die Angriffsversuche nicht mehr funktionieren.

Stellenmarkt
  1. Interhyp Gruppe, München
  2. Bau- und Liegenschaftsbetrieb NRW, Düsseldorf

Zwar sind die betroffenen Speedport-Geräte von der Script-Injection-Lücke, die das Mirai-Botnetz ausnutzt, nicht betroffen, jedoch schreibt Comsecuris, dass es andere Sicherheitslücken in den Routern gefunden habe. Die Details dazu habe das Unternehmen der Telekom mitgeteilt.

Mirai-Botnetz nutzt Script-Injection-Lücke

Die Sicherheitslücke, die für das Botnetz verantwortlich ist, wurde am 7. November erstmals für einen vom irischen ISP Eir eingesetzten Router beschrieben. Allerdings scheint dieselbe Lücke in einer ganzen Reihe von Geräten vorhanden zu sein, nicht jedoch wie zunächst angenommen in den Speedport-Routern der Telekom.

Fernwartungsprotokoll ohne Authentifizierung 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. 23,99€
  2. (-81%) 3,75€
  3. 1,19€
  4. 4,19€

Reichler 22. Jan 2017

Probleme mit WLAN/Internet Hello, ich weiss nicht ob ich da richtig bin, aber ich brauche...

sfe (Golem.de) 01. Dez 2016

Bevor das hier noch abrutscht: closed. Sebastian Fels (golem.de)

Jolla 01. Dez 2016

Aber nicht in einem IP Range von dynamisch vergebenen IPs. Das interessiert dort weniger...

Feuerschmied 01. Dez 2016

Vereinfachtes Beispiel Du kaufst ein neues Auto (Router) und fährst Los (steckst an...

tomatentee 01. Dez 2016

Zwischendrim haben sie sich zum Opfer eines der größten "Cyber-Angriffe" aller Zeiten...


Folgen Sie uns
       


Cherry Stream 3.0 mit großem ß ausprobiert

Alle möglichen Umlaute auf einer Tastatur: Wir haben Cherrys Europa-Tastatur ausprobiert.

Cherry Stream 3.0 mit großem ß ausprobiert Video aufrufen
Kickstarter: Scheitern in aller Öffentlichkeit
Kickstarter
Scheitern in aller Öffentlichkeit

Kickstarter ermöglicht es kleinen Indie-Teams, die Entwicklung ihres Spiels zu finanzieren. Doch Geld allein ist nicht genug, um alle Probleme der Spieleentwicklung zu lösen. Und was, wenn das Geld ausgeht?
Ein Bericht von Daniel Ziegener

  1. Killerwhale Games Verdacht auf Betrug beim Kickstarter-Erfolgsspiel Raw
  2. The Farm 51 Chernobylite braucht Geld für akkurates Atomkraftwerk
  3. E-Pad Neues Android-Tablet mit E-Paper-Display und Stift

In eigener Sache: Neue Workshops zu agilem Arbeiten und Selbstmanagement
In eigener Sache
Neue Workshops zu agilem Arbeiten und Selbstmanagement

Wir haben in unserer Leserumfrage nach Wünschen für Weiterbildungsangebote gefragt. Hier ist das Ergebnis: Zwei neue Workshops widmen sich der Selbstorganisation und gängigen Fehlern beim agilen Arbeiten - natürlich extra für IT-Profis.

  1. In eigener Sache ITler und Board kommen zusammen
  2. In eigener Sache Herbsttermin für den Kubernetes-Workshop steht
  3. Golem Akademie Golem.de startet Angebote zur beruflichen Weiterbildung

Ryzen 3900X/3700X im Test: AMDs 7-nm-CPUs lassen Intel hinter sich
Ryzen 3900X/3700X im Test
AMDs 7-nm-CPUs lassen Intel hinter sich

Das beste Prozessor-Design seit dem Athlon 64: Mit den Ryzen 3000 alias Matisse bringt AMD sehr leistungsstarke und Energie-effiziente CPUs zu niedrigen Preisen in den Handel. Obendrein laufen die auch auf zwei Jahre alten sowie günstigen Platinen mit schnellem DDR4-Speicher.
Ein Test von Marc Sauter

  1. Ryzen 3000 BIOS-Updates schalten PCIe Gen4 für ältere Boards frei
  2. Mehr Performance Windows 10 v1903 hat besseren Ryzen-Scheduler
  3. Picasso für Sockel AM4 AMD verlötet Ryzen 3400G für flottere iGPU

    •  /