Angriff auf Telekom-Router: Was wirklich geschah

Unternehmen liefert Hintergrundinformationen

02. Dezember 2016

Die Router-Ausfälle bei der Deutschen Telekom bestimmen weiterhin die News dieser Woche. Noch am Dinestag erklärte ein Telekom-Sprecher, der Hackerangriff sei erfolglos gewesen und die am Montag vom Unternehmen aufgespielte Filtersoftware habe funktioniert. Gleichzeitig antwortete das Unternehmen auf Spekulationen über angebliche Sicherheitslücken. Wir fassen den aktuellen Stand aus der Sicht der Telekom zusammen.

Deutsche Telekom

Die Zahl der betroffenen Router sei bereits am Montagnachmittag spürbar zurückgegangen, sagte Telekom-Sprecher Georg von Wagner am Dienstag im RBB-Inforadio: »Die Schadsoftware war schlecht programmiert, sie hat nicht funktioniert und hat nicht das getan, was sie hätte tun sollen. Ansonsten wären die Folgen des Angriffs noch viel schlimmer gewesen. Die Zahl der akut betroffenen Router ist von 900.000 dramatisch zurückgegangen, wir gehen davon aus, dass wir heute keine Probleme mehr sehen werden.«

Bei den Angriffen wurde versucht, die Router mit einer Schadsoftware zu infizieren. Dies habe nicht funktioniert, führte jedoch dazu, dass die Router auch nicht mehr funktionierten. Die Angriffe richten sich auf den Fernwartungs-Port 7547 für das Protokoll TR-069. In diesem Zusammenhang wurde im Netz auch über eine Sicherheitslücke bei der Telekom spekuliert. Darauf hat das Unternehmen eine Reihe von Hintergrundinformationen veröffentlicht, um dies zu widerlegen.

Die Deutsche Telekom benutzt im Rahmen ihrer »Easy Support« genannten Funktion zur Fernwartung der Speedport Router das durch das Broadband Forum standardisierte Protokoll TR-069. Hierüber können zum Beispiel Firmware Updates installiert, die Einrichtung der Geräte oder auch Fehlerdiagnosen vorgenommen werden, sofern der Kunde dies wünscht. Alle Fernwartungsfunktionen setzen voraus, dass eine vom Endgerät ausgehende, durch aktuelle Verschlüsselungsstandards gesicherte Verbindung zum sogenannten »Auto Configuration Server« (ACS) der Deutschen Telekom besteht. Es sei also nicht möglich, über eine aus dem Internet initiierte Verbindung zum Endgerät auf dessen Datenmodell zuzugreifen, so die Telekom.

Der Router würde sich am Telekom-Server melden, wenn er neu gestartet wurde oder wenn die Internetverbindung unterbrochen und neu aufgebaut wurde oder auch in vordefinierten Zeitintervallen. Allerdings kann auch der Konfigurationsserver den Router dazu auffordern, sich bei ihm zu melden. Dies geschieht, laut Standard, über den TCP-Port 7547. Bei den Speedport Routern sei dieser Mechanismus durch verschiedene Sicherheitsfunktionen gegen Missbrauch geschützt. Beispielsweise muss der ACS sich gegenüber dem Endgerät mittels eines geräteindividuellen Passworts authentifizieren, erklärt die Telekom.

Bereits vor einigen Jahren wurden Schwachstellen in Fernwartungsfunktionen für Internet Router über das TR-069 Protokoll publiziert. Alle der Deutschen Telekom bekannten Veröffentlichungen der vergangenen Jahre betrafen im Kern die Sicherheit der netzseitigen Komponente für TR-069, den Konfigurationsserver.

Die aktuellen Angriffe betreffen jedoch nicht den ACS, sondern den Endpunkt für den Connection Request auf dem Endgerät, der über TCP-Port 7547 erreicht werden kann. Die hierbei verwendete Angriffsmethodik sei neu und war bis dato nicht bekannt, schreibt die Telekom. Nach aktueller Sachlage basiert diese auf einer Veröffentlichung im Internet von Anfang November 2016. Dort wird für einen Routertyp eines Drittherstellers, der nicht von der Deutschen Telekom genutzt oder vertrieben wird, eine gravierende Schwachstelle in der Implementierung des Connection Requests beschrieben. Diese erlaubt nicht nur den Zugriff auf das Datenmodell des betroffenen Gerätes, sondern auch das Einschleusen des Codes, der dann auf dem betroffenen Router zur Ausführung kommt.

Der aktuelle großflächige Angriff war nicht spezifisch für die Speedport Router der Deutschen Telekom ausgelegt, d.h. er nutzt keine Schwachstelle in den Speedport Routern der Deutschen Telekom aus. Nach aktuellem Kenntnisstand sind keine Speedport Router von der im Internet publizierten Problematik betroffen, d.h. es ist nicht möglich, mit dieser Methodik eine Schadsoftware auf einem Speedport Router zur Ausführung zu bringen.

Eine weitere technische Analyse des Angriffs liefert auch Linus Neumann in seinem Blog. Er kommt zum Ergebniss, dass die Telekom-Router weder die Schwachstelle, noch das Betriebssystem hatten, auf das sich dieser Exploit richten. Sie waren also nicht das Ziel sondern eher Kollateralschaden der Angriffswelle.

Dennoch ist es durch den großflächigen Angriff zu Störungen bei einzelnen Speedport Typen gekommen ist, durch die Kernfunktionen wie der DNS-Proxy im Router ausgefallen sind. Für den Kunden sind dadurch beispielsweise der Internetzugang und die IP-Telefonie gestört. In der Regel behebt aufgrund der inzwischen getroffenen netzseitigen Filtermechanismen ein Neustart des Gerätes diese Problematik. Zudem hat die Telekom Firmware Updates für die am häufigsten betroffenen Routertypen, den Speedport W 921V (incl. Fiber), Speedport W 723V Typ B, Speedport W 504V und den Speedport Entry I zur Verfügung gestellt, die die Stabilität der betroffenen Geräte verbessern. Über die Easy Support Fernwartungsfunktion werden diese Updates auf die Geräte verteilt bzw. stehen unter www.telekom.de/stoerung zum Download bereit.

 
+++ Anzeige +++