Was hinter dem vermeintlichen Angriff und Routerausfall bei der Deutschen Telekom steckt

Don

[printed]-Redakteur, Tweety
Thread Starter
Mitglied seit
15.11.2002
Beiträge
27.220
Was hinter dem vermeintlichen Angriff und Routerausfall bei der Deutschen Telekom steckt

<p><img src="/images/stories/logos-2015/telekom2.jpg" alt="telekom2" style="margin: 10px; float: left;" />Am Montag kam es zu einem großflächigen Ausfall von Internet, Telefonie und IPTV an rund 900.000 Anschlüssen der Deutschen Telekom. Die Gründe für den Ausfall blieben lange im Dunkeln, nach DNS-Problemen spielte die Deutsche Telekom aber ein Firmware-Update für betroffenen Router ein, welches das Problem beseitigen konnte. Dennoch blieb die Frage, was genau zum Ausfall geführt hatte, denn schnell war die Rede von einem Hackerangriff, der eine bereits seit Jahren offene Sicherheitslücke ausgenutzt haben soll. Selbst die Tagesthemen und die Heute-Sendungen beschäftigten sich mit dem Thema, was seine Relevanz noch einmal unterstreichen soll.</p>
<p>Nun konnten zumindest einige...<br /><br /><a href="/index.php/news/hardware/netzwerk/41137-was-hinter-dem-vermeintlichen-angriff-und-routerausfall-bei-der-deutschen-telekom-steckt.html" style="font-weight:bold;">... weiterlesen</a></p>
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Zuletzt bearbeitet:
Vielen Dank für den interessanten Artikel Wotan, ich sollte wieder mehr heise statt nur golem lesen ;) was für mich aber im Grunde bedeutet: Telekoms Aussage war ja dass der Angriff schlecht gewesen wäre und deshalb nicht den maximalen Schaden erzielt hätte. Wenn man dies im Zusammenhang mit diesem Artikel sieht bedeutet das aber für mich dass es sehr wohl eine Sicherheitslücke gibt, die man ausnutzen könnte, es aber noch nicht getan hat. Die Telekom weiß anscheinend sehr gut darüber Bescheid scheint aber hier die Tatsachen nicht offen zu legen. Mal sehen welche Hacker sich durch diesen Angriff inspiriert fühlen am TR-069 weiter zu hacken. Daher ja auch die Aussage man könne in Zukunft diese Angriffe nicht verhindern. Ich bleibe also gespannt


Gesendet von iPhone mit Tapatalk
 
Es war ein Denial-of-Service-Problem
 
Wissen sie nicht?
https://www.heise.de/ct/artikel/DSL-fernkonfiguriert-221789.html

Davon ab, berichtet heise dort lediglich über Erkenntnisse von Ralf-Philipp Weinmann. Das Fachwissen von heise selbst spielt bei der Meldung also gar keine Rolle.

Das Ziel war allerdings nicht, die Infrastruktur als solche lahmzulegen, sondern über diesen Fernwartungsport an weitere Geräte im Netz der Kunden zu gelangen.
Quelle/Beleg für diese Aussage?
Ziel waren doch scheinbar die Router selbst, nicht das, was dahinter liegt.

Aufgrund einer fehlerhaften Infektionsroutine ist es dazu aber gar nicht erst gekommen.
Jain, die Arcadyan Geräte waren für die Lücke gar nicht anfällig.
Es schoss scheinbar "nur" den DNS-forwarder ab.
Wobei ihr das im nächsten Abschnitt ja selbst beschreibt. Wieso dann fehlerhafte Infektionsroutine, wenn das Gerät eh nicht anfällig war?

sondern eine Infizierung noch gar nicht stattfinden konnte, da die fehlerhafte Infektionsroutine die angegriffene Hardware zum Absturz bringt.
Die Arcadyan Geräte wären auch bei "korrekter" Infektionsroutine abgestürzt und nicht infiziert geworden.
Wie schon gesagt, sind sie für diese Art der Lücke scheinbar nicht anfällig. (Aber wohl für andere :o) )

Wenn der Deutschen Telekom also seit 2014 bekannt gewesen sein sollte, dass es über den Fernwartungsport theoretisch eine Angriffsmöglichkeit gibt, dann hätte man diese Lücke längst schließen können.
Die Telekom erklärte damals, dass ihre Netze sicher seien. Auch wurde "EasySupport" (TR-069 Marketingsprech) in den eigenen Hilfeforen für sicher erklärt.

Siehe auch: https://www.heise.de/newsticker/mel...bezeichnen-ihre-Netze-als-sicher-2299863.html

Läuft doch wie immer - negieren bis es knallt und dann, wie im jetzigen Fall, sogar noch als "Opfer" vor die Presse treten, obwohl man Mitschuld hat.
Wobei man die Angriffe auf den ACS und nun direkt auf die CPEs eigentlich getrennt betrachten muss, auch wenn der NTP Angriff mit dem damaligen Vortrag zu tun hat (wenn ich das noch richtig im Kopf habe).
 
Zuletzt bearbeitet:
So wie ich das verstehe hat TR-069 keinen ständig offenen Port, an den man einfach so kommt, sondern die Initialisierung erfolgt immer von der Routerseite aus und setzt dann erst den Prozess in Gang. Wie man dann also jederzeit von außen Schadsoftware aufspielen will, erschließt sich mir so nicht. Also liest sich das hier, wie ein Problem mit TR-064.

Davon ab, berichtet heise dort lediglich über Erkenntnisse von Ralf-Philipp Weinmann. Das Fachwissen von heise selbst spielt bei der Meldung also gar keine Rolle.

Also dürfen Gastautoren ungeprüft Beiträge bei Heise veröffentlichen und niemand liest sie durch, um deren Schlüssigkeit zu verifizieren? Interessant.
Merke ich mir für die nächste Lektüre.
 
Zuletzt bearbeitet:
So wie ich das verstehe hat TR-069 keinen ständig offenen Port, an den man einfach so kommt, sondern die Initialisierung erfolgt immer von der Routerseite aus und setzt dann erst den Prozess in Gang. Wie man dann also jederzeit von außen Schadsoftware aufspielen will, erschließt sich mir so nicht. Also liest sich das hier, wie ein Problem mit TR-064.

Ausgehend von dem von dir verlinkten Whitepaper:

The CPE MAY at any time initiate a connection to the ACS via a CWMP Endpoint using
the pre-determined ACS address (see Section 3.1). A CPE MUST establish a connection
to the ACS and issue the Inform RPC method (following the procedures described in
Section 3.7.1.1) under the following conditions:

- Whenever the CPE receives a valid Connection Request from an ACS (see
Section 3.2.2)
- Whenever the URL of the ACS changes
 
Das erklärt es aber nicht. Auch wenn man von außen den immediate request sendet, läuft das Ganze nicht ohne Anmeldung am ACS. "Einfach so" einen Download von Malware kann man nicht initiieren.
Das Problem dabei ist vermutlich eher, dass von außen auch TR-064 (oder ein Teil davon?) erreichbar (war).
 
Zuletzt bearbeitet:
Alles falsch :d

Die Mutter von Timotheus Höttges ist über das WLAN-Kabel gestolpert :fresse:
 
Tja echte Speedports taugen ebend nichts. Jene T-Kunden genau 2 die von mir eine Fritzbox bekamen hatten diese Probleme nicht.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh