Direkt nach dem Ausfall vieler DSL-Anschlüsse stellte sich heraus, dass diese in direktem Zusammenhang mit den gleichzeitig beobachteten, massiven Angriffen auf den Fernwartungs-Port TR-069 standen. Viele Experten – und auch heise Security – gingen davon aus, dass die Geräte im Prinzip ebenfalls für diese Angriffe anfällig wären und die Ursache der Ausfälle eine fehlerhafte Infektionsroutine war. Ralf-Philipp Weinmann ging der Sache auf den Grund und kam zu der überraschenden Erkenntnis, dass das Problem ganz anders lag.

Derzeit werden alle Systeme im Internet im Minutentakt mit TR-069-Anfragen auf Port 7547 bombardiert. Diese versuchen, eine Sicherheitslücke auszunutzen, die ein Nutzer namens "kenzo2017" am 7. November 2016 in einem Blog veröffentlichte. Sie bezog sich auf Zyxel-Router, die der irische Provider Eir an seine Kunden verteilte. Deren Linux-Betriebssystem ließ sich durch einen Befehl zum Hinzufügen eines Zeit-Servers (NewNTPServer) dazu bewegen, ein Programm aus dem Internet herunterzuladen und auszuführen. Die derzeit grassierenden TR-069-Angriffe sind zum Großteil auf ein Mirai-ähnliches Bot-Netz aus infizierten Linux-Routern dieses Providers zurückzuführen.

Speedport ohne Linux

Nun handelt es sich bei den betroffenen Speedports der Telekom nicht um Zyxel-Router, ja nicht einmal um Router auf Linux-Basis. Vielmehr setzt der taiwanische Hersteller Arcadyan ein eigenes Echtzeitbetriebssystem ein, das gerüchteweise den Namen "SuperTask" trägt. Und dessen TR-069-Implementierung ist auch nicht für den NewNTPServer-Fehler anfällig, wie Weinmann herausfand. Als er sein Testgerät mit diesem Angriff attackierte, geschah – gar nichts. Erst als Weinmann das Gerät wiederholten Angriffen aussetzte, verweigerte es irgendwann den Dienst und stellte alle Netzwerk-Aktivitäten ein.

Das ist genau das, was viele hunderttausend Telekom-Kunden am letzten Wochenende bei sich beobachteten: Sie hatten kein Internet mehr und nach einem Neustart des Routers funktionierte es kurzzeitig wieder – bis die regelmäßigen TR-069-Angriffe das Gerät erneut lahm legten. Eine wie auch immer geartete Infektion gab es dabei nicht. Die Angriffe hätten also die Telekom-Router gar nicht infizieren können, weil diese die TR-069-Lücke gar nicht aufwiesen. Es handelt sich lediglich um ein Denial-of-Service-Problem, das erst durch massenhafte Anfragen ausgelöst wurde.

Versäumnis der Telekom

Fehler kann man der Telekom natürlich trotzdem vorwerfen: Der Fernwartungs-Port TR-069 hätte nicht offen aus dem Internet erreichbar sein dürfen. Auch wenn die Router für die aktuellen Angriffe nicht anfällig waren, kann man gerade bei einem solchen selbstgestrickten Betriebssystem mit proprietärer TR-069-Implentierung getrost davon ausgehen, dass es andere Sicherheitslücken aufweist, die sich missbrauchen lassen. Weinmann deutet auch bereits an, weitere Fehler gefunden und der Telekom gemeldet zu haben.

Ob Ihr Router von außen für TR069-Anfragen erreichbar ist, verrät Ihnen der

(ju)