Störung im Telekom-Netz: BSI bestätigt Hackerangriff als Ursache

Es handelt sich offenbar um eine weltweite Attacke auf Fernwartungsports. Die Telekom liefert Updates für betroffene Router aus, die das Problem beheben. Für das Netzwerk der Bundesregierung bleibt der Angriff laut BSI ohne Folgen.

Das Bundesamt für Sicherheit in der Informationstechnik führt die seit dem Wochenende andauernde Störung von mehr als 900.000 Anschlüssen der Deutschen Telekom auf einen Hackerangriff zurück. Demnach handelt es sich um einen Versuch, Router weltweit gezielt mit Schadsoftware zu verseuchen. Davon Betroffen sei auch das Netzwerk der Bundesregierung.

Motivfoto Hacker (Bild: Shutterstock)„Das BSI ordnet diesen Ausfall einem weltweiten Angriff auf ausgewählte Fernwartungsports von DSL-Routern zu“, teilt die Behörde mit. „Diese Angriffe wurden auch in dem vom BSI geschützten Regierungsnetz registriert, in dem sie aber auf Grund funktionierender Schutzmaßnahmen folgenlos blieben. Das Nationale Cyber-Abwehrzentrum koordiniert derzeit unter Federführung des BSI die Reaktion der Bundesbehörden.“

Der Sicherheitsforscher Johannes Ulrich vom Sans Technology Institute will zudem eine Verbindung zum Mirai-Botnet erkannt haben. Ihm zufolge sind Router betroffen, bei denen der Port 7547 geöffnet ist. Ziel des Angriffes sei eine weit verbreitete Schwachstelle im Konfigurationsprotokoll TR-069, die nicht nur in Speedport-Routern, sondern auch in Produkten von Zyxel stecken soll.

Laut Deutscher Telekom werden die gestern angekündigten Patches für betroffene Router der Speedport-Modellreihe bereits ausgeliefert. „Durch ein Software-Update, welches aktuell auf die betroffenen Kundenrouter gespielt wird, ist der Fehler neutralisierbar“, heißt es in einer Meldung auf der Telekom-Website. „Der Rollout der Software ist bereits erfolgreich gestartet und wir sehen den Erfolg dieser Maßnahme.“

Wie schon gestern empfiehlt die Telekom, betroffene Router für mindestens 30 Sekunden vom Strom zu trennen. Der dadurch ausgelöste Neustart soll „die automatische Aktivierung des Updates“ auslösen. Die Patches für die Router Speedport W 921V, W 723V Typ B und W 921 Fiber können auch manuell heruntergeladen und installiert werden.

Alle „relevanten Fakten“ zur Störung sowie eine Anleitung für die Installation der Updates bietet die Telekom auch auf ihrer Facebook-Seite in einem Video an. Demnach sind die Routermodelle W 921V und W 723V Typ B „schwerpunktmäßig“ betroffen.

Kunden, die auch einen Mobilfunkvertrag der Telekom haben, können sich derzeit noch unter „pass.telekom.de“ einen sogenannten Day-Flat unlimited-Pass freischalten lassen, um ohne Mehrkosten im mobilen Internet surfen zu können. „Wenn Ihr kein Mobilfunk-Kunde bei der Telekom seid, bitten wir Euch, in den nächsten Telekom Shop zu gehen. Dort wird Euch geholfen.“

Das BSI nimmt den Vorfall zum Anlass, um erneut auf den Anfang des Monats veröffentlichten „Bericht zur Lage der IT-Sicherheit in Deutschland“ hinzuweisen. Er sei ein Beispiel für einen Angriff auf kritische Infrastrukturen. „In der Cyber-Sicherheitsstrategie wurden bereits geeignete Maßnahmen zum Schutz vor Angriffen auf unsere digitale Infrastruktur beschlossen. Diese müssen nun wirken“, erklärte BSI-Präsident Arne Schönbohm.

ANZEIGE

Open Telekom Cloud: Ressourcen auf Abruf

Von Capex zu Opex: Mit IT-Kapazitäten aus der Cloud statt von eigenen Servern verwandeln Unternehmen gerade verstärkt starre Investitionskosten in dynamische Ausgaben, die sich dem Geschäftsverlauf anpassen – und werden damit flexibler. Immer beliebter: Infrastructure-as-a-Service (IaaS) aus der Open Telekom Cloud.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Cybercrime, Deutsche Telekom, Hacker, Internet, Netzwerk, Router, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Stefan Beiersmann
Autor: Stefan Beiersmann
Freier Mitarbeiter
Stefan Beiersmann
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Störung im Telekom-Netz: BSI bestätigt Hackerangriff als Ursache

Kommentar hinzufügen
  • Am 30. November 2016 um 11:21 von Andrea

    In der Sache kann ich nur raten: schaut mal bei heise.de vorbei! Es ist eine neue Warnung raus:

    https://goo.gl/BVim9E

    „Mittlerweile lässt sich recht gut rekonstruieren, wie es zu der Großstörung bei der Telekom gekommen ist. Eine Anfang des Monats entdeckte Sicherheitslücke wurde von unbekannten Angreifern ausgenutzt, in dem sie einen fertigen Exploit mit Code des quelloffenen Botnetz-Schadcodes Mirai kombinierten. Ihr Angriff auf verwundbare Router ging offensichtlich in die Hose und führte nicht zu zombifizierten Telekom-Routern sondern zum Verlust von Internet, VoIP und Fernsehen bei den betroffenen Endkunden. Es sieht so aus als verschluckten die Router sich an fehlerhaftem Schadcode.“

    „Die Angriffe gehen weiter
    Da der Schadcode nur im Arbeitsspeicher der betroffenen Geräte abgelegt wird, entfernt ein Neustart eines betroffenen Routers die Infektion. Da das Gerät trotzdem prompt wieder infiziert würde, hat die Telekom mittlerweile in ihrem Netz Traffic für den verantwortlichen Port 7547 komplett trockengelegt. In Tests konnte heise Security bestätigen, dass Geräte mit öffentlich erreichbarem Port 7547 momentan innerhalb von Sekunden mit Paketen beschossen werden, die auf die Sicherheitslücke abzielen, mit der auch die Telekom zu kämpfen hatte.“

    „Die zugrundeliegende Sicherheitslücke wurde am 7. November in DSL-Routern des irischen Providers Eir entdeckt. Diese öffnen, ähnlich wie auch die betroffenen Speedport-Modelle der Telekom, den Port 7547 für Traffic aus dem öffentlichen Netz. Der Port ist Teil des Fernwartungsprotokolls TR-069 wird aber auch für das verwandte Protokoll TR-064 verwendet – und genau hier liegt die Schwachstelle. TR-064 sollte eigentlich nur aus dem lokalen Netz erreichbar sein. Das sagt schon der Name der Funktion des Protokolls: LAN-Side CPE Configuration. Über diese SOAP-Schnittstelle kann ein beliebiger Client im Netz mit POST-Requests die DNS- und NTP-Konfiguration der Geräte ändern – und das ohne jegliche Authentifizierung.“

    „Problem war abzusehen
    Das alleine ist schon schlimm genug, aber die Eir- und Telekom-Router haben noch ein weit gravierenderes Problem, da sie einen Firmware-Bug haben, der es erlaubt, über diese Schnittstelle Schadcode einzuschießen und den Router zu übernehmen. Das hat im Telekom-Fall wohl nicht funktioniert, die Lücke klaffte aber wohl schon länger in der Firmware. Der Entdecker dieses Problems hat am 7. November einen Exploit für das beliebte Metasploit-Framework bereitgestellt, welchen der Angreifer dann wohl in eine abgewandelte Version des Mirai-Wurmes integriert hat. Seit dem 7. November lief also die Uhr für die Telekom.“

    Tja… so viel dazu!! Die Firmware der Telekom-Speedport ist kaputt wie sie kaputter nicht mehr sein kann! Offenbar ist auch im Framework noch ein fetter Bug drin, der ebenfalls gefixt gehört!

  • Am 30. November 2016 um 11:23 von Andrea

    Was darueber hinaus getan werden muss: https://goo.gl/vkdRIs

    „Der netzpolitische Fraktionssprecher Lars Klingbeil sagte der Nachrichtenagentur Reuters, mit einer Produkthaftung müsse erreicht werden, dass die Wirtschaft stärker Verantwortung übernehme und der Druck erhöht werde, Sicherheitslücken zu schließen.“

    Exakt genauso ist es. Es geht hier um Router vom Hersteller Arcadyan, die ganz offenbar mit nicht ausreichend geschuetzter Firmware ausgestattet sind. Und dass heißt:
    1. diese TKUE-Konzerne muessen endlich mehr in die Pflicht genommen werden, solche Sicherheitsluecken zu schließen und dass schneller!
    2. Firmware-Updates muessen kostenlos werden fuer uns User und nicht pro Teil 30 und mehr Euronen kosten
    3. Router die nicht mehr vertrauenswuerdig sind, sind auszutauschen
    4. die TKUE-Konzerne muessen dafuer sorgen, dass die Kunden die deren Router benutzen, stets aktuelle Router am Anschluss haben. Dass heißt: solche Teile sind spätestens 5 Jahre nach der Inbetriebnahme eh veraltet und gehören regelmäßig ausgetauscht gegen neuere!
    5. sämtliche Router muessen fuer alle Leitungsgeschwindigkeiten passend sein.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *