Der Internetausfall, TR-069, die Telekom, und das, was wirklich geschah

Jochens SOZIALPOLITISCHE NACHRICHTEN

Ein sehr technischer Beitrag, für Experten. Wesentlich ist:

  1. Die von der Telekom ausgelieferten Router hatten allesamt mehrer Schwachstellen, auf die Experten schon seit über 1 Jahr hingewiesen hatten: https://www.teltarif.de/tr-069-kabel-deutschland-netgear-tp-link/news/56800.html
  2. Die Hacker haben sich bei dem Angriff ausserdem vertan. Und wenn sie geschickter gewesen wären, wäre es noch viel schlimmer gekommen.
  3. Und: Vermutlich gibt es noch jede Menge andere „bugs“ in der Telekom-Firmware.

Zur Erklärung aus Wikipedia:

TR-069 ist ein Protokoll zum Datenaustausch zwischen dem Server eines Kommunikationanbieters und einem damit verbundenen Endgerät beim Kunden. Ein typischer Anwendungsfall ist die Fernkonfiguration von DSL-Routern durch einen Breitbandanbieter.
Technisch gesehen handelt es sich um ein bidirektionales SOAP-Protokoll für die HTTP-basierte Kommunikation zwischen Kundengeräten (CPEs = Customer Premises Equipment) und Auto-Configuration-Servern (ACS). Es ist daher auch bekannt als CPE WAN Management Protocol (CWMP).

TR-069 beschneidet die Privatsphäre und den Datenschutz der Endanwender.

Es erlaubt dem Provider, automatische Aktualisierungen unbemerkt und ohne Zustimmung des Benutzers in DSL-Router einzuspielen. Diese können sogar zielgerichtet für bestimmte Benutzer oder Benutzergruppen eingerichtet werden.
Insbesondere vor dem Hintergrund derOnline-Durchsuchungen, von Abhörbefugnissen[1] und ähnlichem kann das für den Benutzer gravierende Folgen haben.

Zudem ermöglicht es TR-069 auch andere Geräte zu konfigurieren, die sich im „sicheren Bereich“ hinter der Box oder dem Modem befinden, also hinter der Firewall.[2]
Durch Fernzugriff könnten so auch Daten auf bestimmten Kundengeräten, auf die der Netzbetreiber Zugriff hat, geändert oder gelöscht werden. Durch sein Funktionsprinzip stellt TR-069 daher eine Backdoor dar, deren Existenz vielen Endkunden nicht bekannt ist und über deren Möglichkeiten sie sich nicht bewusst sind.

Ich benutze noch ein Teledat 430 LAN von 2004, das ist zu blöd, um gehackt zu werden.

Bitte an andere Interessenten weiterleiten !

von Linus Neumann am 30. November 2016

Wie lief die versuchte Übernahme von 900.000 Routern ab, über die halb Deutschland gerade diskutiert? Was ist in technischer Hinsicht geschehen?
Die Analyse der betroffenen Geräte liefert einige Antworten auf diese Fragen.

https://netzpolitik.org/2016/tr-069-die-telekom-und-das-was-wirklich-geschah/
Auszüge:

Am Montag und Dienstag versetzte ein Ausfall mehrerer hunderttausend Telekom-Router die deutsche Cyberlandschaft in Aufruhr. Dass der Ausfall mit einem Angriff in Verbindung steht, wurde recht früh von Telekom und Innenministerium bestätigt.

Das Einfallstor, so stellte sich bald heraus, war eine offen dem Internet ausgesetzte Fernwartungsschnittstelle.
Ein kurzes Lauschen auf Port 7547 einer öffentlichen IP bestätigte (spätestens) nach wenigen Minuten eine Angriffswelle mit versuchter command injection:

Der abgebildete Request will eine Lücke im TR-069-Befehl für das Setzen eines NTP-Servers ausnutzen, um eine Datei von einer fremdem Domain per wget herunterzuladen und auszuführen.

Für viele (auch mich) schien der Fall klar: Die Telekom-Router schienen eine Remote Code Execution im TR-069 zu haben – viel schlimmer hätte es kaum kommen können.

Es blieb jedoch eine wichtige Frage offen: Warum stürzten die Router ab, statt sich mit der Payload zu infizieren?
Die Vermutung lag nahe, dass die Angreifer einen Bug im Payload oder Exploit-Code hätten. So könnten der Crash und die ausbleibende Infektion der Geräte erklärt werden.
Den Angreifern schien irgendwo ein kleiner, aber entscheidender Fehler unterlaufen zu sein, der ihnen die Übernahme von 900.000 Geräten zu verhageln schien. Oder etwa nicht?

Zumindest nicht ganz. Während viele (auch ich) sich auf das Exploit-Binary stürzten, um den Fehler zu finden, besorgte sich Ralf-Philipp Weinmann erstmal in Ruhe eines der betroffenen Geräte. Dazu hat er eine erstklassige Analyse auf Englisch verfasst, die ich hier kurz in vereinfachten deutschen Worten zusammenfassen möchte:

Seine erste Erkenntnis: Auf den Telekom-Geräten lief gar kein Linux, das Voraussetzung für das Funktionieren des Befehls im TR-069-Exploit wäre.
Mit anderen Worten: Sie waren gegen den beabsichtigten Angriff immun und somit wohl kaum Ziel des Angriffs.

Die nächste Hypothese wäre gewesen, dass sie zwar die Schwachstelle im TR-069 hätten, aber aufgrund des nicht interpretierbaren Befehls abschmieren würden. Wie Ralf feststellte, führte aber ein einmaliges Senden des Exploits zu gar keiner Reaktion der Geräte.
Mit anderen Worten: Sie schienen nicht nur gegen den Exploit, sondern auch gegen den TR-069-Request selbst immun zu sein.
Erst durch mehrmaliges Zusenden des Requests ließen sich die Geräte langsam aus dem Tritt bringen, bis sie irgendwann gar nicht mehr reagierten.

Was war also geschehen?

Im großen weiten Internet wütet gerade eine Welle von versuchten TR-069-Angriffen. Viele vermeintlich infizierte Geräte scannen fortlaufend das Internet und sorgen dafür, dass jede öffentliche IP-Adresse annähernd im Minutentakt einem Angriffsversuch auf Port 7547 ausgesetzt ist.
Die Telekom-Geräte haben den Port offen, waren jedoch gegen diesen speziellen Code-Injection-Angriffsversuch immun.
Sie hatten weder die Schwachstelle noch das Betriebssystem, auf das sich dieser Exploit richtet.

Offenbar hatten sie jedoch eine DoS-Vulnerability im Interpretieren von TR-069-Befehlen. Dadurch wurden sie – von den Angreifern unbeabsichtigt – durch die Häufigkeit der Zugriffe zum Absturz gebracht.
Ärgerlich für die Angreifer, ärgerlich für die Telekom, ärgerlich für die Kunden – ein bedauerliches Missverständnis, dessen Ergebnis der Ausfall von fast einer Million Internet-Anschlüsse ist, der nicht verharmlost werden sollte: Er konnte sogar ohne Absicht des Angreifers ausgelöst werden.

Was hat die Telekom falsch gemacht?

  1. Der TR-069-Port hätte über das Internet nicht von arbiträren IP-Adressen erreichbar sein dürfen – dafür gibt es ACLs, Firewalls und getrennte Management-Netze. Darauf wurde die Telekom schon 2014 von ihren eigenen Kunden aufmerksam gemacht.
  2. Die Verarbeitung der TR-069-Befehle hat darüber hinaus einen Fehler, der vermutlich im Verantwortungsbereich des Zulieferers der Geräte liegt. Entsprechend blockiert die Telekom gerade Zugriffe von außen auf diesen Port und versorgt die Geräte mit Firmware-Updates.

Vielen Dank an dieser Stelle an Ralf-Philipp, der der Angelegenheit in Ruhe auf den Grund gegangen ist, während viele (andere, inklusive mir) zunächst auf der falschen Fährte waren, dass die Telekom-Router tatsächlich Ziel und nicht etwa Kollateralschaden der Angriffswelle waren.

Der Beitrag erschien zuerst auf dem Blog von Linus Neumann, der spricht auch in den Tagesthemen

Jochen

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s