Abo
  • Services:
Anzeige
Script-Injection über einen SOAP-XML-Call - so verbreitet sich die neue Variante des Mirai-Botnetzes.
Script-Injection über einen SOAP-XML-Call - so verbreitet sich die neue Variante des Mirai-Botnetzes. (Bild: Screenshot Golem.de)

Botnetz: Telekom-Routerausfälle waren nur Kollateralschaden

Script-Injection über einen SOAP-XML-Call - so verbreitet sich die neue Variante des Mirai-Botnetzes.
Script-Injection über einen SOAP-XML-Call - so verbreitet sich die neue Variante des Mirai-Botnetzes. (Bild: Screenshot Golem.de)

Eine Variante des Mirai-Botnetzes auf Routern hat zahlreiche Ausfälle bei Telekom-Kunden verursacht. Allerdings waren die Telekom-Router selbst nicht Teil des Botnetzes, sie wurden lediglich durch die Angriffsversuche lahmgelegt.

Kunden der Telekom müssen seit Montag mit einigen Ausfällen kämpfen. Verantwortlich ist wohl ein Botnetz, das auf dem Code von Mirai basiert. Allerdings waren die Telekom-Router dabei nicht direkt Opfer des Botnetzes. Das zeigt eine Analyse von Ralph-Philipp Weinmann von der Firma Comsecuris.

Anzeige

Botnetz durch Sicherheitslücke in Fernwartungsinterface

In den vergangenen Tagen verbreitete sich massenhaft eine Malware, die eine Sicherheitslücke in der Implementierung der Fernwartungsschnittstellen TR-064 und TR-069 ausnutzte. Diese ließ das Ausführen von beliebigen Linux-Kommandos aus der Ferne zu, die auf dem Routerbetriebssystem ausgeführt werden.

Zwar unterstützen die betroffenen Speedport-Router der Telekom ebenfalls TR-069, einen Service, der auf dem Netzwerkport 7547 läuft. Doch auf den betroffenen Routermodellen - beispielsweise dem Speedport W921V - läuft laut Comsecuris überhaupt kein Linux-System, sondern das Embedded-Betriebssystem RTOS. Damit ist das Einschleusen von Linux-Kommandozeilenbefehlen logischerweise auch nicht möglich. Die Speedport-Router werden von der Telekom nicht selbst produziert, verantwortlich dafür ist bei den betroffenen Modellen die taiwanesische Firma Arcadyan.

Angriffsversuche legen Speedport-Router lahm

Comsecuris konnte beobachten, dass die Router Netzwerkverbindungen verweigerten, nachdem mehrere Angriffsversuche des Mirai-Botnetzes auf dem Router eingegangen waren. Offenbar gibt es auf den Geräten also einen Bug, der dazu führt, dass das Netzwerkrouting auf den Speedport-Geräten durch die Angriffsversuche nicht mehr funktionieren.

Zwar sind die betroffenen Speedport-Geräte von der Script-Injection-Lücke, die das Mirai-Botnetz ausnutzt, nicht betroffen, jedoch schreibt Comsecuris, dass es andere Sicherheitslücken in den Routern gefunden habe. Die Details dazu habe das Unternehmen der Telekom mitgeteilt.

Mirai-Botnetz nutzt Script-Injection-Lücke

Die Sicherheitslücke, die für das Botnetz verantwortlich ist, wurde am 7. November erstmals für einen vom irischen ISP Eir eingesetzten Router beschrieben. Allerdings scheint dieselbe Lücke in einer ganzen Reihe von Geräten vorhanden zu sein, nicht jedoch wie zunächst angenommen in den Speedport-Routern der Telekom.

Fernwartungsprotokoll ohne Authentifizierung 

eye home zur Startseite
Reichler 22. Jan 2017

Probleme mit WLAN/Internet Hello, ich weiss nicht ob ich da richtig bin, aber ich brauche...

sfe (Golem.de) 01. Dez 2016

Bevor das hier noch abrutscht: closed. Sebastian Fels (golem.de)

Jolla 01. Dez 2016

Aber nicht in einem IP Range von dynamisch vergebenen IPs. Das interessiert dort weniger...

Feuerschmied 01. Dez 2016

Vereinfachtes Beispiel Du kaufst ein neues Auto (Router) und fährst Los (steckst an...

tomatentee 01. Dez 2016

Zwischendrim haben sie sich zum Opfer eines der größten "Cyber-Angriffe" aller Zeiten...



Anzeige

Stellenmarkt
  1. energy & meteo systems GmbH, Oldenburg
  2. R&S Cybersecurity ipoque GmbH, Leipzig
  3. twocream, Wuppertal
  4. DATAGROUP Köln GmbH, Starnberg bei München


Anzeige
Top-Angebote
  1. (u. a. Playstation 4 + Spiel + 2 Controller 269,00€, iRobot Roomba 980 nur 777€)
  2. 383,14€ - 30€ MSI-Cashback

Folgen Sie uns
       


  1. VLC, Kodi, Popcorn Time

    Mediaplayer können über Untertitel gehackt werden

  2. Engine

    Unity bekommt 400 Millionen US-Dollar Investorengeld

  3. Neuauflage

    Neues Nokia 3310 soll bei Defekt komplett ersetzt werden

  4. Surface Studio

    Microsofts Grafikerstation kommt nach Deutschland

  5. Polar

    Fitnesstracker A370 mit Tiefschlaf- und Pulsmessung

  6. Schutz

    Amazon rechtfertigt Sperrungen von Marketplace-Händlern

  7. CPU-Architektur

    RISC-V-Patches für Linux erstmals eingereicht

  8. FSP Hydro PTM+

    Wassergekühltes PC-Netzteil liefert 1.400 Watt

  9. Matebook X und E im Hands on

    Huawei kann auch Notebooks

  10. Celsius-Workstations

    Fujitsu bringt sichere Notebooks und kabellose Desktops



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

Tado im Langzeittest: Am Ende der Heizperiode
Tado im Langzeittest
Am Ende der Heizperiode
  1. Speedport Smart Telekom bringt Smart-Home-Funktionen auf den Speedport
  2. Tapdo Das Smart Home mit Fingerabdrücken steuern
  3. Mehr Möbel als Gadget Eine Holzfernbedienung für das Smart Home

Blackberry Keyone im Test: Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
Blackberry Keyone im Test
Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
  1. Blackberry Keyone kommt Mitte Mai
  2. Keyone Blackberrys neues Tastatur-Smartphone kommt später
  3. Blackberry Keyone im Hands on Android-Smartphone mit toller Hardware-Tastatur

  1. Re: Händler haben es nicht anders verdient

    kommentar4711 | 19:37

  2. Re: Vaporware

    KruemelMonster | 19:35

  3. Re: Wie soll das bei der Einreise funktionieren?

    gnolem | 19:34

  4. Re: Unity ist auch eine vergleichsweise gute Engine

    Trockenobst | 19:33

  5. Re: Wer ahnt hier Zusammenhänge????

    lucky_luke81 | 19:32


  1. 18:58

  2. 18:20

  3. 17:59

  4. 17:44

  5. 17:20

  6. 16:59

  7. 16:30

  8. 15:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel