Telekom: Speedports sollten offenbar zum Botnet werden
Kunden der Deutschen Telekom haben es seit gestern nicht leicht, allerorten ist Telefonie oder das Internet nicht zu benutzen. Betroffen sind hier offenbar nur Speedports der Deutschen Telekom. Die Deutsche Telekom ließ bereits verlauten, dass man Anzeichen dafür hätte, dass es sich um einen Angriff handle. Dies scheint tatsächlich der Fall zu sein, offenbar planten Angreifer aus dem Netz der Telekom ein riesiges Botnetz zu machen. Abgesehen hat man es hierbei auf Geräte, die den Fernwartungsport 7547 nutzen.
Über diesen wollten Angreifer offensichtlich einfallen und ein Botnetz im Stile von Mirai aufbauen. Shodan.io, die Suchmaschine des „Internet of things“ (eher manchmal Internet of shit), listet über 40 Millionen Geräte mit offenem Port 7547. Im SANS ISC InfoSec Forum gibt es zur Thematik bereits einen entsprechenden Thread. Die Telekom geht das Problem derzeit meines Wissens mit dem Filtern des Ports an, entsprechende Firmware-Updates sollen die Speedports in Bälde sehen.
Betroffene Kunden, die noch unter dem Ausfall leiden, bekommen – sofern sie einen Mobilfunkvertrag der Deutschen Telekom haben – einen unbegrenzten Datenpass (ganz unten).
Da wurden aus den Speedports Slow-Ports…
Pressemeldung vom BSI
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2016/Angriff_Router_28112016.html
Die Meldung vom BSI ist gut, aber wie lange haben die gebraucht bei den Trojaner diesen Jahres um den Abfluss zu stoppen….?
Besonders der Absatz mit der wirkungsvollen Absicherung 🙂
Für den Speedport 921 gibt es schon ein Firmware Update. Auch für andere Router. Aber noch ohne Changelog.
https://www.telekom.de/hilfe/geraete-zubehoer/router/speedport-w-921v/firmware-zum-speedport-w-921v
https://www.telekom.de/hilfe/geraete-zubehoer/router/speedport-w-723v/firmware-speedport-w723v-typa.bin
https://www.telekom.de/hilfe/geraete-zubehoer/router/speedport-w-723v/firmware-fuer-den-speedport-w-723v-typ-b
Merkwürdig. Noch heute Mittag sagte ein Pressesprecher der Telekom im DLF es seien ausschließlich Internet und TV via Internet betroffen – er betonte explizit: Störungen bei Telefonie gäbe es nicht! Null!
Zugleich erzählte er schon vom möglichen Angriff, man wisse aber nicht welche Router betroffen seien.
Da paßt doch etwas nicht zusammen, oder?
Fragen eines Laien:
1. Werden Telefone nicht an Speeports angeschlossen?
2. Gibt es bei der Telekom keine Telefonate via IP?
3. Der Angriff soll die automatischen Updates der Speedports abgeschaltet haben. Und per Power-Cycling läßt die sich wieder einschalten? Echt?
4. Wie lange wird es wohl dauern, bis die erste Meldung kommt „der Russe war’s“?
Wenn einer das war, denn immer der Russe, nachzulesen im Lexikon, mal sehen wer es zuerst ruft – die Misere oder das Maasmänchen?
Aber im ernst, die Internetverbindung war ja immer noch vorhanden, dass hat zur Folge das beim ändern des Dns-Servers die Seiten wieder erreichbar waren.
War leider nicht betroffen, ansonsten hätte ich es testen können.
Sieht für mich eher nach einen Botnetz aus als ein Hackangriff um an Daten zu kommen.
Auch glaube ich, dass das eigentliche Ziel nicht erreicht wurde.
1. Wie denn sonst?
2. Fast nur noch IP.
2.1 IP-Telofonie braucht/bentzt kein DNS (Namensauflösung), gibst ja nummern ein und keine URL.
3. KA
4. Der Russe ist auch für Bomben auf Krankenhäuser verantwortlich, selbst wenn nachweislich an diesem Tag keiner von denen in der Luft war.
Noch fragen?
Ich selbst hatte keine Probleme hier. (VDSL, SpeedPort 723)
Wie ich aber gehört habe, war nur das reine Surfen bzw. HTTP/FTP betroffen, also quasi die DNS Auflösung. Würde auch dazu passen, weil bei den betroffenen Streams liefen aber Surfen nicht möglich war.
Also das war nicht nur ein DNS Ding. Ein Speedport 921v war gar nicht mehr zu erreichen.über die Weboberfläche. Da half also DNS ändern gar nix. Wenn der ganze Router blockiert.
Reset und nach 3-10 Minuten wieder blockiert. Das traf aber eben nicht alle Speedport Modelle.
Da wird viel durcheinander geworfen.
Zb gibt es ja Firmware Updates also das wird wohl nicht wegen DNS Server gemacht werden.
Da wird sicherlich die tr069 Lücke geschlossen die seit 2014 bekannt ist.
Auch soll aus von der Telekom den ausgenutzten Port anfragen umgeleitet werden.
Die Verbindung beider oberen Lücken erlaubten das nachträgliche laden eines files, welches denn den Router auslastete. Nach einen Neustart war denn der Speicher leer, der sich aber zeitnah wieder gefüllt hat, wie du selbst beschreibst!
Ich traue den Speedports nicht. Ich hatte auch mal so einen. Als ich den Provider gewechselt habe hat er nicht mehr funktioniert. Ich mußte ihn erst fritzen, und siehe da! Plötzlich hat er auch mit anderen Providern zusammengearbeitet, und die Software konnte alles das, was eine originale FRITZ!Box kann.
„Speedports SOLLTEN zum Botenetz werden“?
Langsam. Niemand weiß, seit wann sie das schon waren. Die ausgenutzte Lücke wurde bereits 2014 entdeckt und überall dokumentiert. Die Telekom behauptete damals, das Netz sei sicher.
Erfahrungsgemäß warten Hacker nicht 2 Jahre, bis sie durch die sperrangelweit offenstehenden Türen treten.Und gute Hacker tun das, ohne dass jemand etwas bemerkt.
Aus meiner Sicht muss man davon ausgehen, dass sie die Speedports schon lange im Besitz hatten.
Wie praktisch, dass ich vergangene Woche einen SP723V Typ A eingerichtet, und den defaultmäßig offenen aber unbenutzten Wartungszugang abgeschaltet habe. Neuerdings muss man dazu sogar ein Popup bestätigen, dass man keinesfalls einen Wartungs-Vertrag mit der Klimbim hat, und dies auf eigene Gefahr geschehe – haha.