Analyse: Kollateralschäden im Internet der Dinge 2/3

Andreas Frischholz et al. 47 Kommentare

Die Router der Telekom-Kunden als Kollateralschäden

Wie schwierig die Lage ist, verdeutlicht der Fall der Telekom. Denn eine der zentralen Erkenntnisse ist: Der Angriff richtete sich nicht direkt gegen die Telekom. Die Router der Kunden waren vielmehr Kollateralschäden bei einem global laufenden Angriff, der auf den Fernwartungsport 7547 abzielte.

Konkret wollte die Malware eine Schwachstelle im TR-069-Protokoll ausnutzen, das normalerweise über den Fernwartungsport 7547 eine Verbindung zwischen dem Routern eines Kunden und dem Servern des Netzbetreibers herstellt. Dieses Protokoll nutzt auch die Telekom, um bei den Speedport-Routern etwa Firmware-Updates zu installieren, die Geräte einzurichten und Ferndiagnosen durchzuführen. Eine Voraussetzung ist allerdings, das eine sichere Verbindung zwischen dem Router und dem „Auto Configuration Server“ (ACS) der Deutschen Telekom besteht. So muss sich der Telekom-Server bei jedem Gerät durch ein individuelles Passwort authentifizieren.

Erste Hinweise auf eine Schwachstelle in dem Fernwartungsprotokoll erhielt die Telekom schon im Jahr 2014. Der zentrale Vorwurf: Der entsprechende Port ist über das offene Internet erreichbar. Anfang November verschärfte sich die Lage. Denn seitdem existiert ein Metasploit-Exploit für das Router-Modell ZyXEL D1000, die der irische Provider Eir an die Kunden verteilt. Wenn diese Router mittels der Connection-Request-Funktion, die über den Fernwartungsport 7547 erfolgt, bei dem Server des Netzbetreibers anklopfen, nutzten die Angreifer eine Lücke aus, um Schadcode zu installieren. Zunächst ging es aber nicht um eine Botnet-Malware, stattdessen wollte man durch den Exploit die WLAN-Passwörter abgreifen.

Router, die die Telekom an Kunden verteilt, waren aber nicht direkt von der Schwachstelle betroffen. Denn der Connection Request bewirkt zunächst nur, dass der Router eine sichere Verbindung mit dem Telekom-Server herstellt. Ein Zugriff auf die Daten ist damit noch nicht möglich. Dennoch war man bereits gewarnt, wie die Telekom in dieser Woche erklärte: „Die hierbei verwendete Angriffsmethodik ist neu und war bis dato nicht bekannt.

Warum ist der Angriff also gescheitert? Tatsächlich war es Glück im Unglück, wie selbst Telekom-Chef Tim Höttges einräumt. Denn der Exploit war für ein Linux-Betriebssystem ausgelegt, während die Speedrouter der Telekom ein Echtzeit-Betriebssystem verwenden. Der Schadcode konnte sich also weder auf dem Gerät einnisten, noch wurden die entsprechenden Befehle ausgeführt. „Sie waren gegen den beabsichtigten Angriff immun“, lautet daher das Fazit von CCC-Sprecher Linus Neumann. Oder um es mit den Worten von BSI-Präsident Schöhnbom zu sagen: „Dieses Mal haben wir Glück gehabt.

Abgeschmiert sind die Router der Telekom-Kunden aber unter der Last der Anfragen, wie eine Analyse von Ralf-Philipp Weinmann zeigt. Ein einmaliges Senden des Exploits führte noch zu keiner Reaktion, die Malware hatte also im Kern keine Auswirkung auf die Netzwerk-Funktionen des Routers. Und erst durch mehrfache Anfragen wurden die Geräte allmählich überlastet, sodass der Internetzugang beeinträchtigt war. Irgendwann fielen dann auch Kernfunktionen wie der DNS-Proxy aus, ab diesem Punkt ging dann gar nichts mehr.

Allerdings wurden Geräte mit einem offenen Fernwartungsport 7547 zeitweise im Minutentakt mit Anfragen bombardiert. Insgesamt sind es rund 41 Millionen Geräte im Internet, bei denen dieser Port offen ist, ermittelte das Internet Storm Center mittels der Suchmaschine Shodan. Und auf diese Geräte hatten es die Angreifer abgesehen, die rund 900.000 Telekom-Kunden gerieten also eher zufällig auf das Radar, da die Malware ohnehin nicht funktionieren konnte. De facto war es also ein DDOS-Angriff auf die Speedport-Router der Telekom-Kunden, indem diese solange mit Connection Requests bombardiert wurden, bis die Geräte unter der Last zusammenbrachen.

Die Telekom bekam das Problem ab Montag mit „Filtermaßnahmen im Netz“ in den Griff, indem der Zugriff auf den Port 7547 blockiert und die URL gesperrt wurde, über die die Malware heruntergeladen werden soll. Zudem wurden Firmware-Updates für die betroffenen Router-Modelle verteilt, um die Stabilität zu verbessern. Deswegen hat auch ein Neustart des Routers geholfen. Denn sobald sich die Geräte mit dem Netz verbunden haben, wurden die entsprechenden Updates eingespielt.

Dennoch erklärten IT-Sicherheitsexperten wie Linus Neumann, die Telekom hätte den Angriff verhindern können. Maßnahmen, die seit Montag ergriffen wurden, wären schon im Vorfeld möglich gewesen.

Zumal der Angriff auch kein Einzelfall ist, sondern vielmehr ein Ausblick auf das, was künftig droht. Selbst wenn die aktuelle Malware auf dem Betriebssystem der Speedport-Modelle nicht funktionierte, könnte es auch dort Sicherheitslücken geben, die Angreifer ausnutzen können. Und dasselbe gilt auch für alternative Router-Modelle wie die Fritz!Box von AVM. Die waren von der aktuellen Attacke zwar nicht betroffen, kämpfen aber auch mit dem Vorwurf von Nutzern, Sicherheitslücken auszusitzen.

Letztlich bedeutet das aber: Es stellt sich eigentlich nicht die Frage, ob sich so ein Angriff nochmals wiederholt, sondern vielmehr wann. Deswegen werden jetzt auch die Rufe nach Maßnahmen laut, um künftig besser gerüstet zu sein.

Auf der nächsten Seite: Was tun, wenn der Karren im Dreck steckt