Telekom-Ausfall: Router gehackt

Die Ursache für den Ausfall der Telekom-Infrastruktur in großen Teilen Deutschlands ist wohl ein Hackerangriff. Insgesamt waren etaa 900.000 Kunden davon betroffen, die weder Internet noch Telefon benutzen konnten. 

Laut einer Meldung des SANS-ISC-Infosec-Forums steckt hinter dem Ausfall ein Angriff auf die Telekom-Router über das Fernwartungsprotokoll TR-069, das auf den Speedport-Routern des Konzerns aktiviert ist (Port 7547). Die Telekom bietet ein Update für die Geräte an, das automatisch eingespielt wird, wenn Kunden den Router aus- und wieder einschalten. Schon auf der DefCon-Konferenz 2014 hatten Security-Experten von Sicherheitslücken in DSL-Routern hingewiesen, die das TR-069-Protokoll verwenden. Laut der SANS-Meldung wurden in den letzten Tagen vermehrt Scan-Aktivitäten des Ports 7547 beobachtet, verstärkt nun auch in Österreich, wo laut der Security-Search-Engine Shodan 53.000 Geräte auf dem Port 7547 erreichbar sind. 

Auch das Bundesamt für Sicherheit in der Informationstechnologie (BSI) bestätigt die Theorie: "Das BSI ordnet diesen Ausfall einem weltweiten Angriff auf ausgewählte Fernverwaltungsports von DSL-Routern zu. Dieser erfolgte, um die angegriffenen Geräte mit Schadsoftware zu infizieren."

Über ein Botnetz konnten die Angreifer ihren Exploit auf den Routern platzieren. Dazu verwendeten sie spezielle SOAP-Nachrichten, die sie an den auf dem Router laufenden Server schickten, der das ebenfalls für Fernwartung eingesetzte TR-064-Protokoll implementiert. Dieser Server lässt sich zum einen ohne Authentifizierung nutzen und wies wohl zum anderen wohl einen Bug auf, der einen Command-Injection-Angriff ermöglichte. Ein vergleichbarer Proof-of-Concept-Exploit wurde für die Router der irischen Telekom veröffentlicht. Auch ein Metasploit-Modul für den Exploit ist bereits verfügbar.