Angriff Telekom Router

Telekom-Router angreifen

Modem: Huawei und Telekom weisen auf Angriffe auf Wartungshäfen hin Die Huawei hat eine Schwachstelle in ihrem Huawei HG532-Modem festgestellt. Vergleichbar mit den Anschlägen auf das Telekom-Netz vor rund einem Jahr konnten Täter durchaus den Versuch wagen, den Wartungsanschluss des Gerätes für den Einsatz eines Botnets zu nutzen. Zu diesem Zeitpunkt schlugen die Attacken fehl, weil die Schadsoftware nicht mit der Firmwares der Module vereinbar war.

Laut Huawei hat das Sicherheits-Unternehmen Check Point am vergangenen Freitag auf das Problemfeld aufmerksam gemacht und eine innerbetriebliche Ermittlung angestoßen. Der Check Point hatte ein Beratungsgespräch mit der Nr. CPAI-2017-1016 publiziert. Als " entscheidend " bezeichnen die Fachleute die Schwachstelle, das Unter-nehmen hatte bereits im Okt. ein Mirai-ähnliches Botnet gefunden, das für vergleichbare Anschläge zuständig sein soll.

Laut Check Point bieten die R80, R77, R76 und R75 Anwendungen Schutz vor einem gelungenen Angriff. Eine Angreiferin oder ein Angreifer vermag Päckchen an den Port 37215 zu schicken, um Attacken auszulösen. Dies würde es ermöglichen, ein Endgerät in ein Botnet zu integrieren und weitere Attacken auszulösen. Bis zu 200.000 Messdatenpakete pro Sekunde wurden verarbeitet, nach Berechnungen der Telekom sind etwa 80.000 bis 100.000 Messgeräte betroffen.

Allerdings sind aus Deutschland keine Erfolge bei Attacken zu verzeichnen. Mit ein paar wenigen Handgriffen können sich die Verbraucher selbst verteidigen. Huawei empfiehlt auch, eine Brandmauer "auf der Seite des ISP" zu betreiben. Provider, die solche Endgeräte anbieten, sollten die Intrusion Prevention Signaturen in der Ausführung IPS_H200110011000_2017120100 importieren, um die Endkunden vor Attacken zu bewahren.

Deutsche Telekom findet umfangreichen Cyberangriff: Botnetzbau mit Router von Huawei

Check Point hatte Huawei Ende Nov. auf eine Schwachstelle in seinem "HG532"-Routermodell aufmerksam gemacht, die es einem Agenten ermöglichen könnte, das Laufwerk zu kontrollieren. Kurz darauf hatte der Produzent ein Upgrade für seine Firewall-Systeme zur Verhinderung von Angriffen auf die Router zur Verfügung gestellt, aber zahlreiche Endgeräte wurden anscheinend bereits mitgenommen.

Wenigstens hat die Telekom letzte Handelswoche eine große Anzahl von Dateipaketen ermittelt, die auf das Leak abzielen. Schätzungen zufolge sind etwa 80.000 bis 100.000 Router befallen, aber nach Angaben der Telekom sind in Deutschland noch keine Endgeräte befallen. Bereits im vergangenen Jahr erlitt der Telekommunikationsriese einen derartigen Angriff.

Ähnlich wie die derzeitigen Attacken auf Huawei-Geräte hatte auch sie einen Wartungsanschluss im Blick und schlug nur fehl, weil die Malware mit den Telekom-Routern inkompatibel war und sie zum Crash führte. Mehr als eine Millionen Telekom-Kunden hatten Unterbrechungen des Internets, des Telefons und des IP-Fernsehens. Ähnlich wie beim Angriff im vergangenen Jahr geht es den derzeitigen Attackern wahrscheinlich auch darum, die von ihnen abgehenden Router in ein Botnetz zu verknüpfen und für weitere Attacken zu nutzen.

Laut Telekom stammt der Originalangriff von einem russischen Rechner, danach wurden Versuche unternommen, bösartigen Code von Rechnern in den Niederlanden und Russland wiederherzustellen. Der Check Point, der die Sicherheitslücke entdeckte und einen Sicherheitshinweis veröffentlichte, bewertete das Leak als "kritisch". Zum Zeitpunkt der Drucklegung von Huawei gab es für die betreffenden Produkte keinen Fehler.

Bei den ersten beiden Tips handelt es sich im Allgemeinen um gute Ratschläge für alle Router-Anwender, unabhängig davon, welches Model sie verwenden. Die Implementierung des letzten Hinweises wird für Benutzer wahrscheinlich schwierig sein, die ihren Netzwerkbetreiber benötigen, um sie zu schützen, indem sie Angriffen auf die Sicherheitslücke vorbeugen.

Mehr zum Thema