Telekom-Ausfall: Router gehackt

29.11.2016

Der großflächige Ausfall der Telekom-Infrastruktur ist auf einen Hackerangriff zurückzuführen.

Die Ursache für den Ausfall der Telekom-Infrastruktur in großen Teilen Deutschlands ist wohl ein Hackerangriff. Insgesamt waren etaa 900.000 Kunden davon betroffen, die weder Internet noch Telefon benutzen konnten. 

Laut einer Meldung des SANS-ISC-Infosec-Forums steckt hinter dem Ausfall ein Angriff auf die Telekom-Router über das Fernwartungsprotokoll TR-069, das auf den Speedport-Routern des Konzerns aktiviert ist (Port 7547). Die Telekom bietet ein Update für die Geräte an, das automatisch eingespielt wird, wenn Kunden den Router aus- und wieder einschalten. Schon auf der DefCon-Konferenz 2014 hatten Security-Experten von Sicherheitslücken in DSL-Routern hingewiesen, die das TR-069-Protokoll verwenden. Laut der SANS-Meldung wurden in den letzten Tagen vermehrt Scan-Aktivitäten des Ports 7547 beobachtet, verstärkt nun auch in Österreich, wo laut der Security-Search-Engine Shodan 53.000 Geräte auf dem Port 7547 erreichbar sind. 

Auch das Bundesamt für Sicherheit in der Informationstechnologie (BSI) bestätigt die Theorie: "Das BSI ordnet diesen Ausfall einem weltweiten Angriff auf ausgewählte Fernverwaltungsports von DSL-Routern zu. Dieser erfolgte, um die angegriffenen Geräte mit Schadsoftware zu infizieren."

Über ein Botnetz konnten die Angreifer ihren Exploit auf den Routern platzieren. Dazu verwendeten sie spezielle SOAP-Nachrichten, die sie an den auf dem Router laufenden Server schickten, der das ebenfalls für Fernwartung eingesetzte TR-064-Protokoll implementiert. Dieser Server lässt sich zum einen ohne Authentifizierung nutzen und wies wohl zum anderen wohl einen Bug auf, der einen Command-Injection-Angriff ermöglichte. Ein vergleichbarer Proof-of-Concept-Exploit wurde für die Router der irischen Telekom veröffentlicht. Auch ein Metasploit-Modul für den Exploit ist bereits verfügbar. 

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Telekom bietet DSL-LTE-Hybridtarif

In einem neuen Angebot bündelt die Telekom DSL- und LTE-Zugang, um höhere Bandbreiten zu erzielen.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022