Warum machen 900.000 Telekom-Router Ärger?

[spiralnebelverdreher]

Hallo zusammen,
ich möchte mittels dieses Threads mein vorhandenes Viertelwissen über den technischen Hintergrund des viel diskutierten (Teil-)Ausfalls von cirka 900.000 Telekom Speedport Routern am letzten Wochenendes anreichern.

• - Hattet ihr (falls ihr selbst betroffen wart) den Eindruck, dass der Router zwar noch routete, aber die lokale Namensauflösung bzw. Weiterleitung der Namensauflösung an DNS-Server der Telekom gestört war?
  
  - Hat sich das Problem durch händisches Eintragen eines DNS Servers (z.B. 8.8.8.8 ) lösen lassen oder war ein Neustart des Speedports durch Strom-Ausschalten notwendig?
  
  - Gibt es belastbare Hinweise darauf, dass eine bereits vor Jahren berichtete (und gepatchte!) Schwachstelle im AllegroSoft RomPager des Speedport in den betroffenen Routern vorhanden war?
  
  - Gibt es andere Szenarien, die ein solches Fehlerbild verursachen können?

Ich bin mir sicher, dass hier (neben Betroffenen) einige Leute mitlesen und schreiben, die Erfahrungen in der Verwaltung, Analyse und Fernkonfiguration großer (DSL-) Teilnehmernetze haben.

Viele Grüße

spiralnebelverdreher

(1) https://cve.mitre.org/cgi-bin/cvename.c ... -2014-9222
(2) http://mis.fortunecook.ie/
(3) http://seclists.org/fulldisclosure/2014/Dec/87
(4) https://www.heise.de/forum/Netze/News-K ... 0638/show/

[Dogge]

Ich war nicht betroffen, aber fand diesen [1] Artikel interessant.

[1] http://arstechnica.com/security/2016/11 ... e-routers/

[spiralnebelverdreher]

Ich war nicht betroffen, aber fand diesen [1] Artikel interessant.

[1] http://arstechnica.com/security/2016/11 ... e-routers/

Danke für den Link auf diesen wirklich interessanten Artikel.
Nach dem ersten Lesen habe ich den Eindruck, dass das erste Einfallstor der geöffnete Remote-Zugang über Port 80 in Verbindung mit schwachen Passworten (oder default) Passworten war. Dass Nutzer die Default-Passwörter für den Admin-Zugang aus Bequemlichkeit/mangelnder Einsicht nicht wechseln ist ja bekannt.
Was ich nicht verstehe ist, wie der Ablauf zustande kommt, der hier beschrieben ist: https://www.exploit-db.com/exploits/40740/
===========

By sending certain TR-064 commands, we can instruct the modem to open port 80 on the firewall. This allows access the the web administration interface from the Internet facing side of the modem. The default login password for the D1000 is the default Wi-Fi password. This is easily obtained with another TR-064 command.

Meinem Verständnis nach können TR064 Kommandos immer nur vom LAN aus abgesetzt werden. Das Dokument (https://www.broadband-forum.org/technic ... TR-064.pdf) trägt den Titel "LAN-Side DSL CPE Configuration". Wie also kommt ein Angreifer von außen erstmal dahin, dass er in einem LAN TR064 Kommandos absetzen kann, die den Port 80 auf dem Router öffnen? Was müsste hier vorher stattfinden? Das Nutzer irgendwelchen Code ausführen lassen, dessen Quelle sie nicht mal im Entferntesten kennen ist ja alles andere als unwahrscheinlich. Aber bei 900.000 Nutzern und das in kurzer Zeit?? Hmm, ich bin da nicht überzeugt. Mir fehlt da was fürs Verständnis.

[eggy]

Wenn man den aktuellen Berichten trauen darf, liegt das Problem im Bereich TR-069/TR-064. Und damit ist nicht Port 80 sondern 7547 betroffen. Heise hat nen paar Artikel zum aktuellen Fall, unter anderem auch nen Portscannertest für TR-069 https://www.heise.de/newsticker/meldung ... 07134.html , einfach mal den Newsticker https://www.heise.de/newsticker/ überfliegen, da gibts noch nen paar andere Berichte, das aktuelle Problem scheint wohl zu sein, dass Anfragen, die "unerwartet" formatierte Daten enthalten, direkt an die shell auf dem Gerät weitergereicht werden.

Provider benutzen diese Fernwartungsprotokolle gerne um die Router Ihrer Kunden remote zu konfigurieren. Von Geräteeinstellungen, über Updates bis zum Komplettreset lässt sich praktisch alles damit machen. Ohne dass der Kunde auch nur eine Taste drücken muss. Falls Du Dir ansehen magst, was man mit den genannten Protokollen so alles anstellen kann, AVM hat nen paar Dokumente zu dem, was sie in ihren Geräten verbaut haben: https://avm.de/service/schnittstellen/ , bei anderen Herstellern siehts ähnlich aus (nur selten so umfangreich dokumentiert).

[heisenberg]

Wenn ich den Heise Artikel so richtig verstehe, dann hat es für den Request Hey Endgerät bitte aktualisiere mal deinen NTP-Server! keine Authentifizierung gegeben(war nicht erwähnt, muss also nicht heissen, dass es nicht doch eine Anmeldung gibt.) Im Wikipedia-Artikel zu TR069 steht was von Default-Passwörtern, die tunlichst pro Gerät unterschiedlich sein sollten(Die Telekom weisst zumindest für das Webinterface zufallsgenerierte Passwörter seit vielen Jahren zu; ob das auch für TR069 zutrifft?) und da steht auch noch etwas von HTTPS-Zertifikaten des ACS-Servers(AutoConfigurationServer, ob das jetzt tatsächlich einen Berechtigungsschutz darstellt oder eher wie sich das für mich anhört ein gültiges HTTPS-Zertifikat, damit halt ein verschlüsselter Kanal aufgebaut werden kann ist mir nicht klar).

Aber im Endeffekt frage ich mich natürlich schon und stelle halb provokativ die Frage in den Raum, ob das allen Ernstes so ist, dass da der TR069-Port für das ganze Internet offen da liegt als ein Dienst mit dem man den Router komplett Konfigurieren kann und dass auch noch ganz ohne Authentisierung?

[MSfree]

Aber im Endeffekt frage ich mich natürlich schon und stelle halb provokativ die Frage in den Raum, ob das allen Ernstes so ist, dass da der TR069-Port für das ganze Internet offen da liegt als ein Dienst mit dem man den Router komplett Konfigurieren kann und dass auch noch ganz ohne Authentisierung?

Ja, der Port ist weltweit offen.

Der Grund für den Port ist auch alles andere als Fernwartung, denn die wird von den Providern gar nicht betrieben oder aber mindestens sträflich vernachlässigt, so daß man den Port eigentlich gar nicht bräuchte. Der eigentliche Grund ist TKÜ.

[schwedenmann]

Hallo

@heisenberg

Aber im Endeffekt frage ich mich natürlich schon und stelle halb provokativ die Frage in den Raum, ob das allen Ernstes so ist, dass da der TR069-Port für das ganze Internet offen da liegt als ein Dienst mit dem man den Router komplett Konfigurieren kann und dass auch noch ganz ohne Authentisierung?

Mit Siucherheitslücken muß man in der IT wohl leben müssen. Aber das eigentliche problem scheint mir eher auf der Seite des IOT zu liegen. Schlißelich wurde der Angriff auf die 900000 Router mit einem Botnetzt aus Waschmaschiene, Kühlschränken. Kaffemaschiene und itelligenten Thermostaten gefahren. Die IOT ist Sicherheitsmäßig ist Misthaufen und der wird den leuten noch mächtig Ärger amchen, wenn man bald etwas in Punkto Sicherheit dort tut.

mfg
schwedenmann

[MSfree]

Schlißelich wurde der Angriff auf die 900000 Router mit einem Botnetzt aus Waschmaschiene, Kühlschränken. Kaffemaschiene und itelligenten Thermostaten gefahren.

Es wurden weit mehr als 900000 Router angegriffen, der Angriff war bei 900000 Routern erfolgreich, und es wurde auch nicht nur die Telekom angegriffen. Mein Firewall-Log zeigt ebenfalls einen bis jetzt andauernden Angrif auf Port 7547, also den TR069-Port, und ich bin nicht bei der Telekom.

Bei meinen Verwandten, die bei der Telekom sind, steht ein olles DSL-Modem mit einem Debian-Router, der den Port-7547-Angriffen die kalte Schulter gezeigt hat. Die Telekom hat allerdings ihre eigenen Firewall scharf geschaltet und läßt zur Zeit keinen Port-7547-Verkehr mehr in sein Netz. Bei mir kommen immer noch Port-7547-Verbindungsversuche an.

Das Problem sind aber nicht nur die IoT-Spielzeuge wie Heizungsthermostate oder Glühbirnen, die für den Angriff genutzt wurden. Botnetze gab es schon immer. Das Problem ist doch die Tatsache, daß alle Router diese Hintertür eingebaut haben vor der die c't schon vor mehr als einem Jahr gewarnt hat. Wenn etwas eine absichtlich Lücke, und nichts anderes ist TR069, hat, wird sie ausgenutzt werden.

[DeletedUserReAsG]

Die Telekom hat allerdings ihre eigenen Firewall scharf geschaltet und läßt zur Zeit keinen Port-7547-Verkehr mehr in sein Netz.

Versteh’ ich das richtig, dass ich, wenn ich auf einer entfernten Maschine einen Dienst auf dem Port nutzen möchte, diesen aus dem Netz der Telekom nicht erreichen kann? Das fände ich … bedenklich.

[mat6937]

Versteh’ ich das richtig, dass ich, wenn ich auf einer entfernten Maschine einen Dienst auf dem Port nutzen möchte, diesen aus dem Netz der Telekom nicht erreichen kann?

Wenn sich die entfernte Maschine (auch) im Netz der Telekom befindet, ja. D. h. wenn der Port 7547, destination-Port im Netz der Telekom ist.

[spiralnebelverdreher]

Aber im Endeffekt frage ich mich natürlich schon und stelle halb provokativ die Frage in den Raum, ob das allen Ernstes so ist, dass da der TR069-Port für das ganze Internet offen da liegt als ein Dienst mit dem man den Router komplett Konfigurieren kann und dass auch noch ganz ohne Authentisierung?

Ja, der Port ist weltweit offen.

Der Grund für den Port ist auch alles andere als Fernwartung, denn die wird von den Providern gar nicht betrieben oder aber mindestens sträflich vernachlässigt, so daß man den Port eigentlich gar nicht bräuchte. Der eigentliche Grund ist TKÜ.

Das sind ja zwei ziemlich steile Thesen von dir:
1. Telekom-Provider betreiben keine Fernwartung mittels des in TR069 spezifizierten Protokolls
2. Unsere Router lauschen nur auf diesem Port, damit eine staatliche Telekommunikationsüberwachung stattfinden kann.

Hast du für deinen beiden Thesen zitierbare Belege und Quellen?

[MSfree]

1. Telekom-Provider betreiben keine Fernwartung mittels des in TR069 spezifizierten Protokolls

Wenn sie es täten, wären jetzt nicht 900000 Router betroffen gewesen, sondern schon längst Firmware eingespielt, die nicht so einfach angreifbar ist.

2. Unsere Router lauschen nur auf diesem Port, damit eine staatliche Telekommunikationsüberwachung stattfinden kann.

Glaubst du ernsthaft, daß man für etwas, das von den Behörden geheim gehalten wird, zitierbare Quellen findet?

[spiralnebelverdreher]

Aber im Endeffekt frage ich mich natürlich schon und stelle halb provokativ die Frage in den Raum, ob das allen Ernstes so ist, dass da der TR069-Port für das ganze Internet offen da liegt als ein Dienst mit dem man den Router komplett Konfigurieren kann und dass auch noch ganz ohne Authentisierung?

Soweit ich die Zusammenhänge bisher verstanden habe, dient TR069 der Fernkonfiguration von Routern etc. Diese Geräte bauen aber immer von sich auf (z.B. nach dem Einschalten) eine Session auf zu Servern, die bei ihnen vorab als Konfig-Server hinterlegt sind. Erst nach Aufbau einer solchen Session kann der entfernte Server die Konfiguration auslesen oder ändern. Die Verbindung soll verschlüsselt aufgebaut werden (TLS) und der Router soll durch eine Zertifikatsprüfung den Servern authentifizieren. Verschlüsselung und Authentifizierung sind aber anscheinend im Standard nicht zwingend vorgeschrieben.
Der entfernte Konfig-Server kann einen Verbindungsaufbau "erbitten" beim Router; dieser erfolgt dann aber zum bereits hinterlegten Konfigurationsserver.

Für mich liest sich das so, dass das Protokoll wohl nicht das Problem ist, sondern eine schlechte Implementierung des Protokolls auf dem Router. Die Antwort auf deine Frage wäre also: NEIN, es ist nicht so.

[DeletedUserReAsG]

Glaubst du ernsthaft, daß man für etwas, das von den Behörden geheim gehalten wird, zitierbare Quellen findet?

Gibt es denn überhaupt Hinweise? Ich meine, einen Schritt weiter (auf der Kiste, wo man sich einwählt) ist sämtliche Kommunikation sowieso bequem zentral abgreifbar.

[MSfree]

Gibt es denn überhaupt Hinweise?

Selbstverständlich. Ich sage nur Bundestrojaner.

Ich meine, einen Schritt weiter (auf der Kiste, wo man sich einwählt) ist sämtliche Kommunikation sowieso bequem zentral abgreifbar.

Von da hat man aber keinen Zugriff auf das LAN und die auf den Rechnern gespeicherten Daten. Hat man Zugang zum Router, kann man auch die LAN-Rechner packen und Kommunikation direkt abgreifen, bevor sie verschlüsselt wird.

[rendegast]

Der Grund für den Port ist auch alles andere als Fernwartung, denn die wird von den Providern gar nicht betrieben oder aber mindestens sträflich vernachlässigt, so daß man den Port eigentlich gar nicht bräuchte. Der eigentliche Grund ist TKÜ.

... daß man für etwas, das von den Behörden geheim gehalten wird, zitierbare Quellen findet?

Ein Haken hat die Argumentation.
Wäre das eine Behörden-Backdoor, so sollte sie nicht allgemein bekannt sein.
Das ist sie nämlich schon sein einigen Jahren.

Die deutschen Behörden hätten da wohl eher ein gesteigertes Interesse daran, daß nicht jeder TKÜ machen kann.
ZBsp. IS, Korea, NSA, China, GB, Anonymous, ...
also die ganze Konkurrenz im Cyber-War-Geschäft.





Hier in der Zeitung ist der Hauptteil der Meldung, daß da eine Malware für einen Angriff installiert werden sollte,
was häufig nicht geklappt hat (folgend www-Ausfall).
Nur nebenbei: "ermöglicht durch eine Lücke in der Router Software".
Nichts davon, daß diese Lücke seit Jahren (auch und gerade dem Hersteller t-com) bekannt ist und offensteht.

[spiralnebelverdreher]

2. Unsere Router lauschen nur auf diesem Port, damit eine staatliche Telekommunikationsüberwachung stattfinden kann.

Glaubst du ernsthaft, daß man für etwas, das von den Behörden geheim gehalten wird, zitierbare Quellen findet?

Das Argument verstehe ich nicht. Die Definition von TR069 ist kein Geheimnis. Schließlich müssen es ja die HW-Hersteller implementieren damit sie bei den ISPs weltweit ihre Geräte anbieten können. Und da TR069 allen der englischen Sprache mächtigen Interessierten bekannt ist, haben die nationalen staatlichen Stellen keinen Wissensvorsprung vor den Nachrichtendiensten aller anderen Länder sowie der organisierten Kriminalität.
Ob und wie TR069 bei deinem Gerät zuhause zum Einsatz kommt, lässt sich sehr leicht durch Mitschneiden des Datenverkehrs beobachten, woraus sich wiederum jede Menge Material für zitierbare Quellen erzeugen ließe.

[MSfree]

Nichts davon, daß diese Lücke seit Jahren (auch und gerade dem Hersteller t-com) bekannt ist und offensteht.

Man will die Bevölkerung wohl nicht beunruhigen.

https://www.heise.de/netze/meldung/Def- ... 92576.html

Man beachte das Datum des Artikels!

[spiralnebelverdreher]

Gibt es denn überhaupt Hinweise?

Selbstverständlich. Ich sage nur Bundestrojaner.

Der Bundestrojaner als Erklärung dafür, dass weltweit Telekom-Provider und Gerätehersteller TR069 Protokolle in ihren Produkten implementieren??? Das überzeugt mich nicht. So groß würde ich den Einfluß des BKA auf die weltweite Technikentwicklung nicht einschätzen.

[MSfree]

Ob und wie TR069 bei deinem Gerät zuhause zum Einsatz kommt, lässt sich sehr leicht durch Mitschneiden des Datenverkehrs beobachten, woraus sich wiederum jede Menge Material für zitierbare Quellen erzeugen ließe.

Wenn du jetzt noch erkläst, wie man bei einem Speedport den Datenverkehr auf dem WAN-Port mitschneiden kann, wäre wir einen Schritt weiter. Vom LAN aus siehst du ja nicht, was am WAN-Port passiert.

[DeletedUserReAsG]

Vor dem Plastikrouter steht bei mir ein eigener Router, der den Plastikrouter von meinem LAN isoliert. Wenn der Plastikrouter irgendwas im LAN versucht, wird das in meinen Logs auftauchen. Bislang war das zumindest bei mir nicht der Fall, und ich denke auch nicht, dass ich der Einzige bin, der den Plastikroutern misstraut (allerdings nicht in der Hinsicht, dass darüber versucht wird, irgendwelche Bundestrojaner zu verteilen) und der so ein Setup fährt, so dass es zumindest Berichte über verdächtige Logs geben sollte™, wenn an der Geschichte etwas dran wäre.

Eigentlich braucht’s dazu nicht mal ein isoliertes LAN, ein Blick in die Logs der Kisten im Plastik-LAN sollte sowas auch zutage fördern. Das Einzige, was so ein Plastikrouter einigermaßen unbemerkt machen könnte: Daten über die im LAN befindlichen Geräte ausleiten. Das fände ich zwar nicht schön, und sowas zu vermeiden ist auch eine der Aufgaben meines Routers, aber das hat wenig mit dem Fernwartungsport zu tun.

[spiralnebelverdreher]

Ob und wie TR069 bei deinem Gerät zuhause zum Einsatz kommt, lässt sich sehr leicht durch Mitschneiden des Datenverkehrs beobachten, woraus sich wiederum jede Menge Material für zitierbare Quellen erzeugen ließe.

Wenn du jetzt noch erkläst, wie man bei einem Speedport den Datenverkehr auf dem WAN-Port mitschneiden kann, wäre wir einen Schritt weiter. Vom LAN aus siehst du ja nicht, was am WAN-Port passiert.

Ich habe keinen Speedport Router und bin auch kein Telekom-Kunde, deshalb kann ich dir da aus eigener Erfahrung keine Antwort geben. Meine FritzBox hat eine Option, auf der WAN-Seite der Box den Datenverkehr mitzuschneiden und als Datei abzulegen, damit man das später in Wireshark o.ä. analysieren kann. Man muss dann natürlich dem Hersteller avm vertrauen, dass der nicht alle Bundestrojaner-Spuren vom Logging heraus filtert.
Aber es gibt auch professionelles Werkzeug dafür: http://www.broadframe.com/pdf/dslscope.pdf oder https://www.iol.unh.edu/testing/broadba ... /xdsl-tool.

[MSfree]

Vor dem Plastikrouter steht bei mir ein eigener Router, der den Plastikrouter von meinem LAN isoliert.

Das Problem hierbei ist, daß der Plastikrouter trotzdem gekapert und mißbraucht werden kann. Zwar haben die Behörden schlechte(re) Karten, auf dein LAN zu kommen, Botnetzbetrieber sind dennoch dankbar für das "Zur-Verfügung-Stellen" deiner Plastikkiste.

Plastikrouter wurden auch schon dazu mißbraucht, teure Telefonate zu führen, indem der Angreifer seine Anrufe einfach über fremde Plastikrouter und deren VoIP geführt hat. Nicht nur, daß das Opfer dabei erstmal auf hohen Telefonrechnungen sitzt, auch Telefonate, die man als "IS-Anwärter" lieber nicht über das eigene Smartphone führt, kann man so über Anschlüsse unbescholtener Bürger führen.

[MSfree]

Meine FritzBox ....

Die Fritten waren auch nicht betroffen. Deren TR069-Port ist auch per Default nicht offen.

[spiralnebelverdreher]

Vor dem Plastikrouter steht bei mir ein eigener Router, der den Plastikrouter von meinem LAN isoliert.

Das Problem hierbei ist, daß der Plastikrouter trotzdem gekapert und mißbraucht werden kann. Zwar haben die Behörden schlechte(re) Karten, auf dein LAN zu kommen, Botnetzbetrieber sind dennoch dankbar für das "Zur-Verfügung-Stellen" deiner Plastikkiste.

Das war aber nicht die Ausgangsfrage, auf die "niemand" antwortete. Die Ausgangsfrage war, ob du für deine These, dass das TR069 Protokoll von den Telekom-Unternehmen NICHT zur Fernkonfiguartion verwendet wird, Belege finden kannst. Und "niemand" hat dir dafür einen technisch machbaren Weg aufgezeigt.

Was also hast du an niemands Vorschlag nun auszusetzen? Was hindert dich daran, deine These in deiner Heimumgebung zu prüfen und uns das Ergebnis mitzuteilen?