Nicht nur bei den Kunden der Deutschen Telekom herrschte seit fast zwei Tagen Unkenntnis. Der IT-Verlag Heise hat jetzt einen Sicherheits-Check herausgegeben, der diese Fragen beantwortet. Im Zuge des globalen Angriffs auf Telekom-Router haben sich Hunderttausende von Internet-Zugangspunkten von Hackern schließen lassen. Betroffen waren nur die Speedport-Routermodelle. Bei einer Anforderung mit dem Namen TR-069 über das Netz konnte von aussen auf den Port 7547 zugegriffen werden und damit den ganzen Router beeinflussen.
Mit einer Aktualisierung der vertrauten Modelle soll diese Kluft schrittweise beseitigt werden. Geblieben ist die Fragestellung, ob dies auch bei anderen Router wieder passieren kann. Ob Ihr Router auch eine solche Sicherheitsschwachstelle hat, können die Mitarbeiter von Heise klären. Es wurde eine eigene Testseite angelegt, auf der die Benutzer einen Versuch durchführen können.
Dabei wird geprüft, ob der jeweilige Router über das Netz mit dem Netzwerkanschluss kommunizieren kann. Wenn während der Bewertung ein grüner "geschlossen" oder "gefiltert" angezeigt wird, ist der Router vor der momentanen Gefährdung geschützt. Ist das Resultat mit einem roten Haken markiert, sollte der Benutzer die Einstellung mindestens einmal prüfen, eventuell den Anbieter auf das aufgetretene Fehler aufmerksam machen.
unter ?Hier können Sie Heise testen. Aktuelle digitale Informationen auch auf twittern.
Die Deutsche Telekom bleibt durch den Grossangriff in Aufregung. Bereits seit Sonntag Morgen hat der Bonner Telekommunikationskonzern landesweit Schwierigkeiten mit seinen dsl-Anschlüssen. Von den rund 20 Mio. Festnetzkunden sind mehr als 900.000 betroffen, zum Teil können sie ihren gesamten Anschluß nicht mehr ausnutzen.
Diejenigen, die eines der kompletten Magenta-Angebote bei der Deutschen Telekom buchten, konnten nicht anrufen, im Netz blättern oder TV schauen - diese Applikationen sind alle auf gängigen DSL-Anschlüssen der Deutschen Telekom zusammengefasst und werden über die Speedport-Router der Deutschen Telekom betrieben. Wie die Telekom selbst am vergangenen Wochenende mitteilte, wurden verschiedene Speedport-Modelle als Problemursache ermittelt.
Die DSL-Netzinfrastruktur der Deutschen Telekom arbeitet zwar perfekt, aber die Router auf der Seite der Verbraucher sind manchmal ganz verrückt: "Es gibt keinen klaren Fehler: Manche haben temporäre Beschränkungen oder sehr hohe Qualitätsschwankungen, aber es gibt auch solche für die zur Zeit nichts möglich ist", sagte ein Telekom-Sprecher am Montagabend. Die Störungsmeldungen im Netz machten klar, dass die Ausfallzeiten nicht an einzelne Standorte oder Leitungsarten gekoppelt sind, sondern überregional verbreitet werden; gemeinsame Nenner sind nur die Speedport-Router der Deutschen Telekom, die der Konzern an seine Breitbandkunden ausleiht.
Infolgedessen vermuten die Unternehmen nun einen Hacker-Angriff auf die Geräte: "Aufgrund des Fehlermusters kann nicht ausgeschlossen werden, dass gezielte externe Einflüsse auf Router ausgeübt werden, so dass sie sich nicht mehr am Netzwerk einloggen können ", kommentiert ein Unternehmenssprecher. Immer häufiger gab es am vergangenen Montagabend Anzeichen dafür, dass die so genannten Fernwartungsschnittstellen der Speedport-Systeme für Anschläge genutzt werden können.
Betroffen sind nach Angaben eines Sprechers W723 Type B und die Geräte der Serie 921 - beide vom taiwanischen Produzenten Arcadyan. Das Computer-Notfallteam des Bundesamtes für Sicherheit der Informationstechnologie, CERT Bund, hat am Montagnachmittag eine Netzwerkanalyse via Twitter veröffentlicht. Telekommunikationsanbieter wie die Telekom können über diese Interfaces im laufendem Betrieb Veränderungen am Router durchführen oder Software-Updates per Fernsteuerbefehl installieren.
Im Jahr 2012 wurden beispielsweise verschiedene Router-Modelle von Telefonica O2-Kunden angegriffen. Das in Bonn ansässige Unternehmen fertigt die Speedport-Geräte nicht selbst, sondern bezieht so genannte OEM-Geräte, die von namhaften Firmen wie Arcadya oder Huawei für den deutschsprachigen Raum mit dem Markenauftritt der Telekom individuell angepasst werden. Auch in dieser Darstellung ist der freie Netzwerk-Port 7547 ein Gateway für Einbrecher.
Anscheinend hat es bis Ende Oktober gedauert, bis die bisher nicht bekannten Angreifer den in Exploit-DB beschrieben Anschlag automatisch und für den Masseneinsatz geeignet gemacht haben. com, das vom BSI CERT-Team am vergangenen Mittwoch über Zwitschern vorgeschlagen wurde, erläutern Sicherheitsforscher: "Die bisher nicht bekannten Angreifer verwenden offensichtlich eine durch den neuen Anschlag ausgebaute Malwareversion "Mirai", um die Steuerung der Endgeräte zu erlangen und Malware zu installieren.
Ab Montagmittag sind auch verschiedene Antivirenfirmen auf die neue Mirai-Variante gestoßen, sie haben die Unterschrift in ihrer gemeinschaftlichen Datenbasis Virustotal veröffentlicht. Bei Mirai handelt es sich um Malware, die jetzt kostenlos als Kit im Web erhältlich ist; sie soll dazu dienen, Endgeräte im Rahmen des Internets der Dinge in ein so genanntes Botnet einzubinden.
Das Botnet erwartet dann Kommandos von Hackern und kann z.B. zum Blockieren von Angriffen auf die Infrastruktur im Netzwerk verwendet werden. Offenbar arbeitet ein neuer Angreifer an einem neuen Botnet. Die Deutsche Telekom empfiehlt den betreffenden Teilnehmern einen erneuten Start des Router. Für viele unserer Auftraggeber hat dies jedoch nur kurz oder gar nicht geholfen. Dies sowie die vom BSI veröffentlichten Analysen deuten darauf hin, dass der Anschlag fortgesetzt wird und Router nach einem kurzen Zeitraum nach einem Restart wieder zu Opfern von Hackern werden.
Die Deutsche Telekom hat am Montag Nachmittag endlich einige Software-Updates für die Speedport-Geräte veröffentlicht. Es war jedoch zunächst nicht eindeutig, ob diese auch dann funktionieren würden, wenn die Mirai-Software bereits die Steuerung des Routers übernimmt.