Archiv

Archiv

Medien

Mythos offene Schnittstelle: Was wirklich geschah

Seit gestern gibt es immer wieder Spekulationen über angebliche Sicherheitslücken im Zusammenhang mit dem Angriff von Außen auf Speedport Router von Kunden der Telekom. Im Folgenden haben wir noch einmal detaillierte Hintergrundinformationen zusammengestellt, die hoffentlich zu einer Versachlichung der Diskussion beitragen. 

Die Deutsche Telekom benutzt im Rahmen ihrer „Easy Support“ genannten Funktion zur sicheren Fernwartung der Speedport Router das durch das Broadband Forum standardisierte Protokoll TR-069. Hierüber können z.B. Firmware Updates installiert, die Einrichtung der Geräte oder auch Fehlerdiagnosen vorgenommen werden, sofern der Kunde dies wünscht.

Alle Fernwartungsfunktionen setzen voraus, dass eine vom Endgerät ausgehende, durch aktuelle Verschlüsselungsstandards gesicherte Verbindung zum sogenannten „Auto Configuration Server“ (ACS) der Deutschen Telekom besteht. Der ACS ist die netzseitige Komponente für die Fernwartungsfunktionen. D.h. es ist nicht möglich, über eine aus dem Internet initiierte Verbindung zum Endgerät auf dessen Datenmodell zuzugreifen.

Folgende Ereignisse führen dazu, dass sich ein Endgerät am ACS meldet:

  • Das Endgerät wurde neu gestartet oder die Internetverbindung wurde unterbrochen und neu aufgebaut.
  • Das Endgerät ist online und ein vordefiniertes Zeitintervall ist verstrichen.
  • Der ACS hat das Endgerät dazu aufgefordert, sich bei ihm zu melden. Diese „Anklopffunktion“ wird im TR-069 Standard als sogenannter „Connection Request“ beschrieben.

Damit der Connection Request funktionieren kann, muss das Endgerät für den ACS über das Internet erreichbar sein. Laut Standard ist hierfür der Port 7547/tcp vorgesehen, der auch von allen Speedport Routern dazu genutzt wird. Das Auslösen des Connection Requests erfolgt über das HTTP Protokoll. Bei den Speedport Routern ist dieser Mechanismus durch verschiedene Sicherheitsfunktionen gegen Missbrauch geschützt. Beispielsweise muss der ACS sich gegenüber dem Endgerät mittels eines geräteindividuellen Passworts authentifizieren.

Nochmals: Das Auslösen eines Connection Requests bewirkt, dass das Endgerät eine sichere Verbindung zum vorkonfigurierten ACS der Deutschen Telekom aufbaut. Der Connection Request ermöglicht grundsätzlich keinen Zugriff auf das Datenmodell des Endgerätes.

Bereits vor einigen Jahren wurden Schwachstellen in Fernwartungsfunktionen für Internet Router über das TR-069 Protokoll publiziert. Diese Veröffentlichungen wurden von der Deutschen Telekom beobachtet und bewertet. Zudem wurde die eigene Infrastruktur auf eventuelle Schwachstellen hin untersucht. Alle der Deutschen Telekom bekannten Veröffentlichungen der vergangenen Jahre betrafen im Kern die Sicherheit der netzseitigen Komponente für TR-069, den ACS.

Die aktuellen Angriffe betreffen jedoch nicht den ACS, sondern den Endpunkt für den Connection Request auf dem Endgerät, der über Port 7547/tcp erreicht werden kann. Die hierbei verwendete Angriffsmethodik ist neu und war bis dato nicht bekannt. Nach aktueller Sachlage basiert diese auf einer Veröffentlichung im Internet von Anfang November 2016. Dort wird für einen Routertyp eines Drittherstellers, der nicht von der Deutschen Telekom genutzt oder vertrieben wird, eine gravierende Schwachstelle in der Implementierung des Connection Requests beschrieben. Diese erlaubt nicht nur den Zugriff auf das Datenmodell des betroffenen Gerätes, sondern auch das Einschleusen des Codes, der dann auf dem betroffenen Router zur Ausführung kommt.

Vermutlich auf Basis dieser Veröffentlichung wurde dann der aktuell zu beobachtende großflächige Angriff auf Internet Router über den Port 7547/tcp gestartet, von dem auch die Deutsche Telekom betroffen ist. Ziel dieses Angriffs ist nach aktueller Sachlage die Installation einer Schadsoftware auf den Routern, damit diese als Teil eines sogenannten Botnetzes fungieren, also als fernsteuerbare Infrastruktur für weitere Angriffe zur Verfügung stehen.

Der aktuelle großflächige Angriff war nicht spezifisch für die Speedport Router der Deutschen Telekom ausgelegt, d.h. er nutzt keine Schwachstelle in den Speedport Routern der Deutschen Telekom aus. Nach aktuellem Kenntnisstand sind keine Speedport Router von der im Internet publizierten Problematik betroffen, d.h. es ist nicht möglich, mit dieser Methodik eine Schadsoftware auf einem Speedport Router zur Ausführung zu bringen.

Richtig ist hingegen, dass es durch den großflächigen Angriff zu Störungen bei einzelnen Speedport Typen gekommen ist, durch die Kernfunktionen wie der DNS-Proxy im Router ausgefallen sind. Für den Kunden sind dadurch beispielsweise der Internetzugang und die IP-Telefonie gestört. In der Regel behebt aufgrund der inzwischen getroffenen netzseitigen Filtermechanismen ein Neustart des Gerätes diese Problematik. Zudem stehen bereits für die am häufigsten betroffenen Routertypen, den Speedport W 921V (incl. Fiber), Speedport W 723V Typ B, Speedport W 504V und den Speedport Entry I bereits Firmware Updates zur Verfügung, die die Stabilität der betroffenen Geräte verbessern. Über die Easy Support Fernwartungsfunktion werden diese Updates auf die Geräte verteilt bzw. stehen unter www.telekom.de/stoerung zum Download bereit.

161130-Rede-TH-MagentaSecurityKongress

Angriff auf Router: Das ist passiert

Telekom CEO Tim Höttges zu Angriff auf Endkundenrouter und Cybersecurity-Strategie auf Fachkongress Magenta Security.

FAQ