Telekom-Hack – Das sind die Hintergründe, so schützen sich Anwender

Beim jüngsten Hacker-Angriff auf die Telekom wurde vor allem das Fernwartungsprotokoll und der IP-Port für die automatische Konfiguration der Router ausgenutzt. Anwender können den Port auf ihren Endgeräten schließen und Updates installieren, um einen erfolgreichen Angriff zu verhindern.

In jüngster Vergangenheit wurden Kunden der Telekom angegriffen, indem Hacker Schwachstellen von einigen DSL-Routern ausgenutzt haben. Das Ergebnis waren abgestürzte Internetverbindungen und keine funktionierende Telefonie. Die Rede ist von 900.000 betroffenen Kunden.

Zwar haben einige Anwender versucht, das Problem mit dem Trennen des Geräts vom Telekom-Netz in den Griff zu bekommen. Allerdings hat das nicht lange geholfen, da die Angreifer die erneute Verbindung bemerkt und erneut versucht haben, den Router zu übernehmen. Die Angriffe haben schlussendlich die Router zum abstürzen gebracht.

Mittlerweile hat die Telekom Gegenmaßnahmen eingeleitet und stellt auch Updates zur Verfügung. Anwender sollten das Problem aber nicht der Telekom überlassen, sondern sich aktiv mit dem Thema auseinandersetzen.

Das ist beim Angriff auf die Telekom passiert

Beim Angriff auf die Telekom haben die Angreifer die Endgeräte der Verbraucher attackiert, genauer gesagt, die Speedport-DSL-Router, nicht die Infrastruktur der Telekom selbst. Betroffen waren vor allem folgende Typen:

  • Speedport W 921V
  • Speedport W 723V Typ B
  • Speedport W 921 Fiber
  • Speedport Entry
  • Speedport W 504V

Bei zukünftigen Angriffen könnten aber durchaus auch Fritz!Boxen oder andere Router angegriffen werden. Aktuell waren vor allem die Router des Herstellers Arcadyan im Fokus, der die Router der Telekom herstellt. Der Angriff hat sich auf die Fernwartungs-Funktion der Router konzentriert. Die Angreifer haben sich dazu auf Router verbunden, bei denen der Port 7547 geöffnet ist.

Dieser Port wird unter anderem von den Internetanbietern zur Fernwartung genutzt. Einfach ausgedrückt heißt das: Wenn ein DSL-Router diesen offenen Port nutzt, ist er weiterhin angreifbar. Die Telekom hat zwar Aktualisierungen zur Verfügung gestellt und die Angreifer blockiert, dennoch besteht weiter Gefahr. Routerhersteller wie AVM schützen den Port zwar etwas besser vor Zugriffen, allerdings besteht auch hier durchaus die Möglichkeit für einen Angriff. Im Gegensatz zu den attackierten Speedport-Routern verlangen die meisten anderen Hersteller eine Authentifizierung vor dem Verbindungsaufbau über den Port 7547. Hier hat die Telekom, beziehungsweise der Hersteller der Router, nachgebessert

Ob der eigene Router betroffen ist, lässt sich zum Beispiel über einen Heimnetzwerk-Sicherheitsscan von Avast Anti Virus Free überprüfen oder auf der Webseite IsMyPortOpen. Allerdings bieten beide Tests keine umfassende Information über den Sicherheitsstatus der Geräte.

Über Internetseiten und Tools lässt sich schnell feststellen, ob der TCP-Port 7547 auf Routern generell im Internet geöffnet ist, oder nur durch den Provider zugreifbar ist (Screenshot: Thomas Joos).Über Internetseiten und Tools wie Avast Anti Virus Free lässt sich schnell feststellen, ob der TCP-Port 7547 auf Routern geöffnet ist (Screenshot: Thomas Joos).

Anwender sollten sich allerdings keinesfalls darauf verlassen, dass ihr Router sicher ist, wenn Tools wie Avast oder Online-Dienste den Port TCP 7547 als geschlossen melden. Angriffe auf den Router können auch über das interne Netzwerk erfolgen. Avast überprüft den Router auch nach offenen Ports im internen Netzwerk. Es ist also durchaus sinnvoll, das Tool für einen ersten Sicherheitscheck zu  verwenden.

Es gibt keine vollkommene Sicherheit

Eine vollständige Sicherheit für Netzwerke und Router gibt es nicht. Auch wenn der Port 7547 geschlossen ist, besteht weiterhin Gefahr für DSL-Router und damit für interne Netzwerke von Anwendern. Die Updates der Speedport-Router können den aktuellen Angriff zwar abwehren, allerdings ist zu erwarten, dass die krminellen Hacker nicht aufgeben.

Daher sollten Anwender generell über das Thema Sicherheit nachdenken. Das fängt mit dem Aktualisieren der PCs und Geräte zu aktueller Software an, geht mit der sicheren Bedienung der Geräte weiter und setzt auch ein gewisses Verständnis für die Sicherheit in Netzwerken voraus. Kennwörter für den Verwaltungszugriff auf Geräte müssen genauso sicher sein wie der Zugang zum eigenen WLAN.

Hintergründe zum Angriff – Fernwartungsprotokoll TR-069

Die Hacker nutzen eine Schwachstelle des Fernwartungsprotokolls PE-WAN-Management (CWMP)-Protokolls, kurz TR-069 auf den Routern aus. Dieses ermöglicht Internetanbietern remote über den TCP-Port 7547 eine Verbindung zu den Routern aufzubauen. Der Port wird zum Beispiel für automatische Konfigurationen verwendet, zum Übertragen der Internetzeit per NTP und Tests, wenn etwas nicht korrekt funktioniert. Wenn eine Internetverbindung aber erst einmal funktioniert, ist der Port vollkommen nutzlos. Der TCP-Port 7547 ist nach dem Port 80 der weltweit am zweithäufigsten geöffnete Port. Laut Internet Storm Center liegt weltweit bei mindestens 40 Millionen Geräten ein geöffneter Port vor.

Dieser Port ist auf Speedport-Routern leider wenig geschützt, was bereits seit Jahren bekannt ist. Ein versierter Benutzer hat die Telekom bereits am 12.01.2014 darüber informiert. Der Port war nicht nur im internen Netzwerk der Telekom verfügbar, sondern über das öffentliche Internet. Außerdem waren die Authentifizierungskonfigurationen der Speedport-Router nicht darauf ausgelegt, die Angreifer zu blockieren. Anwender mit AVM-Routern hatten dieses Mal mehr Glück. Das kann sich allerdings schnell ändern.

Über den TCP-Port 7547 haben Hacker versucht, einen Verbindungsaufbau zu den Routern zu initiieren. Das hat auch funktioniert, allerdings war der Programmcode der Schadsoftware fehlerhaft und hat damit die Internetverbindung des Routers zum Absturz gebracht. Warum das schlussendlich passiert ist, lässt sich nicht genau sagen. Einige Experten gehen davon aus, dass das Betriebssystem auf den Speedport-Routern nicht kompatibel mit dem Virus war. Sobald ein Speedport-Router aber infiziert war, oder durch DDOS schlicht überlastet, und nicht ausgeschaltet wurde, war er selbst Bestandteil des angreifenden Netzwerks, beziehungsweise ist abgestürzt. Hierzu gibt es verschiedene Meinungen. Einige Sicherheitsexperten gehen davon aus, dass die Übernahme des Routers nicht funktioniert hat, da der Code nicht für das Betriebssystem des Routers geeignet war, sondern nur dessen Absturz verursacht hat. Die Abwehr des Angriffes lag also nicht an der sicheren Konfiguration des Routers und des Netzwerks, sondern daran, dass der Code des Virus nicht optimal entwickelt war. Das kann sich beim nächsten Mal ändern. In jedem Fall war es augenscheinlich sehr einfach Millionen von Menschen über Tage vom Internet und der Telefonie zu trennen. Warum das Internet und Telefon nicht funktioniert, ist einem Endanwender erst einmal egal, das Ergebnis zählt.

Das TR-069-Protokoll wird nicht nur zur Fernwartung durch Internetanbieter genutzt, sondern auch für die Übertragung von NTP-Zeitservern an die Router. Das CWMP-Protokoll soll Internetanbietern also Zugang zu den Routern von Anwendern ermöglichen. Eine weitere Schwachstelle, die auch seit längerem bekannt ist, besteht darin, dass bei der Übertragung der NTP-Server auch Befehle von Angreifern eingeschleust werden können, die der Router dann ausführt. Das haben sich auch die aktuellen Angreifer zunutze gemacht.

So hat das Mirai-Botnet angegriffen

Kaspersky Lab vermutet hinter dem Angriff das bekannte Mirai-Botnet. Im Gegensatz zu vielen anderen Botnets, die vor allem auf PCs setzen und damit auf Windows, besteht Mirai aus Geräten mit fehlerhafter Firmware, die an das Internet angeschlossen sind. Dabei kann es sich um Router handeln, aber auch um Heimautomations-Geräte oder andere Hardware. Mirai hat sich in jüngster Zeit vor allem in Überwachungskameras gehackt, bei denen Anwender das Standardkennwort nicht geändert hatten. Auch solche Kameras konnten für den aktuellen Angriff genutzt werden. Der Angreifer hat folgende Aktionen durchgeführt:

  1. Der Router wurde infiziert und damit selbst zu einem Angreifer. Die Infektion wurde über den ungeschützten TCP-Port 7547 durchgeführt. Bei diesem Vorgang hat der Virus eine Lücke im TR-069-Protokoll ausgenutzt, um statt eines NTP-Servers anzugeben, mit Wget eine Datei herunterzuladen, nämlich die Schadsoftware. Einige Experten vermuten, dass der Virus bereits hier gescheitert ist, durch den massiven Angriff auf den Port aber den Router zum Absturz gebracht hat.
  2. Die Schadsoftware hat sich selbst aus dem Dateisystem des Routers entfernt und in den Arbeitsspeicher kopiert. Beim dauerhaften Speichern in das Dateisystem hat sich allerdings ein Fehler eingeschlichen. Ansonsten wäre der Angriff noch viel verheerender gewesen.
  3. Anschließend sollte der Port 7547 für andere Verbindungen durch die Schadsoftware geschlossen werden. Dazu wurde folgender Befehl verwendet: „iptables -A INPUT -p tcp -destination-port 7547 -DROP“.  Allerdings hat das nicht funktioniert, sonst hätte die Telekom die Speedport-Router nicht aktualisieren können. Eine andere Möglichkeit ist, dass der Router durch die massiven Angriffe auf Port 7547 abgestürzt ist.
  4. Es wurde versucht, eine Namensauflösung aller Geräte über die DNS-Server von Google durchzuführen (8.8.8.8). Die Befehle haben die Angreifer regelmäßig geändert.
  5. Der Angreifer hat versucht, im Netzwerk über den Port 7547 weitere Geräte zu finden. Hier sollten zum Beispiel Smart-TVs, Heizungs-Thermostate, andere Router, Überwachungskameras oder andere Geräte infiziert werden.

Aktuell findet der Angriff noch statt. Im kompletten Internet scannen infizierte Geräte nach anderen Geräten, bei denen der Port 7547 erreichbar ist und versuchen einzudringen. Kaspersky geht in einem eigenen Blogbeitrag auf die einzelnen Vorgänge ein.

Darum war der Angriff so gefährlich

Beim Angriff wurde der Schadcode erfolgreich auf die Speedport-Router übertragen, konnte aber nicht gespeichert werden. Der Code war nur im Arbeitsspeicher des Routers aktiv, hat aber dort im Heimnetzwerk nach Geräten gesucht, die infiziert werden können. Die infizierten Geräte waren also aktiver Bestandteil des angreifenden Botnetzes. Wenn die Übernahme nicht funktioniert hat, wovon auch einige Experten ausgehen, dann hat er zumindest den Router zum Absturz gebracht. So oder so hatten die Angreifer also durchaus einen Erfolg erzielt.

Ein Neustart der Router hat daher den Virus wieder vom Gerät entfernt, beziehungsweise den Angriff abgebrochen, bis eine erneute Übertragung oder ein weiterer Angriff stattgefunden hat. Bei diesem Vorgang wird der Arbeitsspeicher gelöscht und damit der Schadcode deaktiviert sowie der Angriff aus dem Internet unterbrochen. Einfach ausgedrückt heißt das also: Laut der Meinung verschiedener Experten waren die Router waren bereits infiziert, nur konnte sich der Virus nicht im Gerät festhalten, weil der Schreibvorgang auf das Dateisystem nicht funktioniert hat. Andere Experten sind der Meinung, dass die Übertragung des Virus früher gescheitert ist, und der Router lediglich abgestürzt ist. Das Ergebnis ist aber das Gleiche: Internet und Telefonie haben durch den Virus nicht mehr funktioniert.

Wie können weitere Angriffe verhindert werden?

Die Telekom stellt mittlerweile ein Update zur Verfügung, das automatisch auf die Endgeräte, also die betroffenen Speedport-Router installiert wird. Damit das Update installiert wird, sollten Anwender ihren Router einige Zeit vom Netz trennen und dann erneut verbinden. Bei der erneuten Verbindung lädt der Assistent auf dem Router das Update herunter und installiert es. Funktioniert die Installation nicht, sollte das Update manuell installiert werden. Hierzu muss die Weboberfläche zur Konfiguration des Routers aufgerufen werden. Damit die automatische Aktualisierung durchgeführt werden kann, müssen Anwender diese in der Weboberfläche aber aktivieren. Dazu muss die Option Automatische Konfiguration\EasySupport über den Menübereich Verwaltung\ Hilfsmittel oder bei Anschluss & Tarif, beziehungsweise Einstellungen gesetzt werden. Standardmäßig ist diese Option bereits gesetzt. Sie kann jedoch deaktiviert werden. Es lohnt sich also, einen Blick auf die Konfiguration zu werfen.

Telekom-Router können ebenfalls automatisch aktualisiert werden (Screenshot: Thomas Joos).Telekom-Router können ebenfalls automatisch aktualisiert werden (Screenshot: Thomas Joos).

Anwender, die Router von anderen Herstellern einsetzen, sollten in nächster Zeit auf Aktualisierungen achten, und diese möglichst schnell auf den Endgeräten installieren. Verfügt der Router über eine automatische Routine zur Aktualisierung, so wie zum Beispiel AVM Fritz!Boxen, dann sollte diese Funktion aktiviert werden. Außerdem sollten Anwender generell für alle Geräte, die über eine Authentifizierung verfügen das Standardkennwort ändern und ein sicheres Kennwort verwenden.

TR-069 auf AVM Fritz!Boxen ausschalten

Auf AVM-FritzBoxen steht im Menü zur Konfiguration der Internetzugangsdaten (Internet\Zugangsdaten) der Menüpunkt „Automatische Einrichtung durch den Dienstanbieter zulassen“ auf der Registerkarte Anbieter-Dienste zur Verfügung. Allerdings ist das nur dann der Fall, wenn der Anbieter die automatische Konfiguration durch TR-069 benötigt und unterstützt. Durch das Deaktivieren dieser Option lässt sich die Sicherheit etwas verbessern, da TR-069 weitgehend blockiert wird. Ist die Option nicht verfügbar, dann unterstützt der Anbieter die Konfiguration auch nicht und man kann diese an dieser Stelle leider auch nicht ausschalten. DAmit bleibt nur noch der Zugriff über Telnet.

Durch das Deaktivieren der automatischen Einrichtung auf Fritz!Boxen lässt sich die Sicherheit von AVM DSL-Routern etwas verbessern (Screenshot: Thomas Joos).Durch das Deaktivieren der automatischen Einrichtung auf Fritz!Boxen lässt sich die Sicherheit von AVM DSL-Routern etwas verbessern (Screenshot: Thomas Joos).

Lässt sich TR-069 nicht über die Weboberfläche ausschalten, steht die Möglichkeit zur Verfügung, die Deaktivierung über Telnet durchzuführen. Diese Vorgehensweise ist allerdings nur für geübte Anwender sinnvoll, da dabei auch die Funktion des Routers beeinträchtigt werden kann. Vorher sollte eine vollständige Sicherung der Fritz!Box durchgeführt werden. Seit Fritz!OS 6.30 ist das Freischalten von Telnet nicht mehr so einfach möglich und Anpassungen an den Systemdateien müssen direkt auf das Dateisystem übertragen werden. Dieses Verfahren ist daher vor allem für Anwender geeignet, die sich sehr gut mit der Fritz!Box auskennen und diese im Notfall auch wiederherstellen können.

Fazit

Das aktuelle Einfallstor für Angreifer war das unsichere Fernwartungsprotokoll PE-WAN-Management (CWMP), kurz TR-069 auf den Routern und dessen TCP-Port 7547. Die Telekom hat den Port für Zugriffe aus dem Internet nun gesperrt, sodass er nur noch aus dem internen Netzwerk der Telekom erreichbar ist.

Anwender sollten darüber hinaus ihre Speedport-Router auf den neusten Stand bringen. Wer andere Router einsetzt, sollte diese aktualisieren, sichere Kennwörter verwenden und, wenn möglich, den Port TCP 7547 und das TR-069-Protokoll blockieren. Viele Hersteller, auch AVM, bieten die Möglichkeit, den Port über die Konfigurationsdateien zu blockieren, allerdings setzt das einiges an technischem Geschick voraus. Die Angriffe gehen derzeit im ganzen Internet weiter, nur das Telekomnetzwerk wird aktuell blockiert. Sobald ein Router mit dem Internet verbunden wird, lassen sich die Sekunden zählen, bis Angreifer versuchen über den Port 7547 Zugriff zu erhalten.

Themenseiten: AVM, Speedport, Telekom, Telekom

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Telekom-Hack – Das sind die Hintergründe, so schützen sich Anwender

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *