Telekom-Störung: Doch Hackerangriff auf DSL-Modems

Der Ausfall des Telekom-Netzes (DSL, Telefonie, TV) geht wohl auf einen global ausgerichteten Hackerangriff auf DSL-Modems zurück. Zumindest kristallisiert sich das aktuell heraus.


Anzeige

Was bisher war

Im Beitrag DSL und Festnetz bei Telekom gestört? [Update] Hackerangriff? hatte ich Sonntag-Abend über die Großstörung bei der Telekom berichtet. Seit Sonntag, den 28.11.2016, gibt es bei Telekom-Kunden großflächige Ausfälle bei Internet, IPTV und VoIP Internet-Telefonie.


(Quelle: allestörungen.de)

In einem Nachtrag hatte ich die Vermutung der Telekom thematisiert, dass diese Störung mit einem Hackerangriff zusammen hängen könnte. Jetzt lichtet sich der Nebel.

Weltweiter Hackerangriff auf Port 7547 von DSL-Routern

Vom  Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde eine Pressemitteilung herausgegeben, die recht allgemein von einem Hackerangriff auf  Fernverwaltungsports spricht.

Am 27. und 28. November 2016 sind über 900.000 Kundenanschlüsse der Deutschen Telekom von Internet- und Telefonieausfällen betroffen gewesen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) steht in ständigem Austausch mit der Deutschen Telekom, um diesen Vorfall zu analysieren.

Das BSI ordnet diesen Ausfall einem weltweiten Angriff auf ausgewählte Fernverwaltungsports von DSL-Routern zu. Dieser erfolgte, um die angegriffenen Geräte mit Schadsoftware zu infizieren. Diese Angriffe wurden auch in dem vom BSI geschützten Regierungsnetz registriert, in dem sie aber auf Grund funktionierender Schutzmaßnahmen folgenlos blieben. Das Nationale Cyber-Abwehrzentrum koordiniert derzeit unter Federführung des BSI die Reaktion der Bundesbehörden.

Beim Internet Storm Centre findet sich hier die Information, dass aktuell weltweit DSL-Modems über Port 7547 angegriffen werden. Der Port 7547 ist für das Fernwartungsprotokoll TR-069 in der Regel offen. Sucht man beispielsweise nach dieser Port-Nummer, stößt man auf diesen Telekom-Hilft Nutzerbeitrag, der 2014 auf den offenen Port hinweist und fragt, was er damit machen soll (aber keine Antwort erhielt). Laut dem  Internet Storm Centre werden bei einer Suche über die Suchmaschine Shodan  ca. 41 Millionen Geräte mit offenem Port 7547 gelistet.

Bei heise.de schreibt man hier, dass die Cyber-Kriminellen weltweit versuchen, eine Schwachstelle im Fernwartungsprotokoll TR-069 auszunutzen, um die Geräte in ein Botnet zu integrieren.

Wie es ausschaut, ist bei den Telekom-DSL-Routern (und anderen Anbietern) das Fernwartungsprotokoll TR-069 aktiviert. Wer sich mit dem Thema auseinander setzen möchte, diese AVM-Seite führt aus, dass die Seite "Anbieter-Dienste" in der Benutzeroberfläche der FRITZ!Box nur dann vorhanden ist, wenn der Internetanbieter die automatische Einrichtung der FRITZ!Box nach TR-069 unterstützt. Hier hat sich ein Blogger mit dem Thema befasst.

Ich habe auf meiner FRITZ!Box 7390 kurz nachgeschaut. Unter Internet->Zugangsdaten findet sich die Registerkarte Anbieter-Dienste, wo ich die Option 'Automatische Einrichtung durch den Dienstanbieter zulassen' deaktiviert habe.

Die Telekom-Störung ist damit quasi ein Kollateralschaden dieses Angriffs. Zwischenzeitlich hat die Telekom durch Installation neuer Software den Port wohl geblockt und bekommt das Problem hoffentlich in den Griff. Weitere Details könnt ihr dem verlinkten heise.de-Beitrag sowie der verlinkten Seite des Internet Storm Centre entnehmen.


Anzeige

Ähnliche Artikel:
DSL und Festnetz bei Telekom gestört? [Update] Hackerangriff?
DSL-Störung bei 1&1?
DSL-Störung: 1&1, Telekom und Bananenrepublik #Neuland
Hilfe, ich hab eine DSL-Störung–was kann man testen–Teil 1
Hilfe, ich hab eine DSL-Störung–was kann man testen–Teil 2
DSL-Störung: Netzteil der FRITZ!Box gestorben
Telefon-Spam 0211-36870409 in FRITZ!Box blocken
Ärger mit der FRITZ!Box 6490 Cable
Sicherheitslücke in AVM-FRITZ!Box-Routern schließen
FRITZ!Box-LAN-Verbindungen liefern nur langsame 100 MBit/s
FRITZ!Box-Anwender sollten VoIP-Kennwort ändern
Sicherheitslücken: Fritz!Box, D-Link-Modems, Cisco-Router
Update: Patches zur AVM FRITZ!Box-Sicherheitslücke


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Internet, Sicherheit abgelegt und mit , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

26 Antworten zu Telekom-Störung: Doch Hackerangriff auf DSL-Modems

  1. OlliD@IRQ8 sagt:

    Das Problem liegt wohl speziell in dem Protokoll TR-064 (AVM-PDF-Dokument) und erfolgt dann per TCP-Port 7547 über kompromittierte NTP-Server-Einträge, die dann zum Nachladen per wget bzw. tftp der IoT-Botnetz-'Mirai'-Malware über den Host "http://l.ocalhost.host" benutzt werden.
    Bei der Infektion wird der TCP-Port 7547 geschlossen und der Telnet-Dienst gekillt, so dass in diesem Zustand keine Remotesoftwareversorgung per TR-069 mehr möglich ist.
    Eine neue aktualisierte Firmware der Speedports W 921V und W 723V (Typ A und B) wurde mit heutigem Zeitstempel bereits aktualisiert durch die Telekom zur Verfügung gestellt.
    Interessante Beschreibungen hier

    OlliD@IRQ8

    • Herr IngoW sagt:

      IP6 geht gar nicht, bei der angegebenen Seite für IP4 gibt es ein Problem mit dem Sicherheitszertifikat.
      Es betrifft nur Speedport-Router der Telekom keine Fritz!Box im Telekom-Netz.

  2. OlliD@IRQ8 sagt:

    Grüße sozusagen aus Panama:

    Domain Name: OCALHOST.HOST
    Domain ID: D39445184-CNIC
    WHOIS Server: whois.namecheap.com
    Referral URL:
    Updated Date: 2016-11-28T15:20:44.0Z
    Creation Date: 2016-11-26T08:36:58.0Z
    Registry Expiry Date: 2017-11-26T23:59:59.0Z
    Sponsoring Registrar: Namecheap
    Sponsoring Registrar IANA ID: 1068
    Domain Status: serverHold https://icann.org/epp#serverHold
    Domain Status: serverTransferProhibited https://icann.org/epp#serverTransferProhibited
    Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
    Domain Status: addPeriod https://icann.org/epp#addPeriod
    Registrant ID: C98238422-CNIC
    Registrant Name: WhoisGuard Protected
    Registrant Organization: WhoisGuard, Inc.
    Registrant Street: P.O. Box 0823-03411
    Registrant City: Panama
    Registrant State/Province: Panama
    Registrant Postal Code:
    Registrant Country: PA
    Registrant Phone: +507.8365503
    Registrant Phone Ext:
    Registrant Fax: +51.17057182
    Registrant Fax Ext:
    Registrant Email: 71aa2b1dc4544e4ca4cfa344302e8b2e.protect@whoisguard.com
    Admin ID: C98238420-CNIC
    Admin Name: WhoisGuard Protected
    Admin Organization: WhoisGuard, Inc.
    Admin Street: P.O. Box 0823-03411
    Admin City: Panama
    Admin State/Province: Panama
    Admin Postal Code:
    Admin Country: PA
    Admin Phone: +507.8365503
    Admin Phone Ext:
    Admin Fax: +51.17057182
    Admin Fax Ext:
    Admin Email: 71aa2b1dc4544e4ca4cfa344302e8b2e.protect@whoisguard.com
    Tech ID: C98238417-CNIC
    Tech Name: WhoisGuard Protected
    Tech Organization: WhoisGuard, Inc.
    Tech Street: P.O. Box 0823-03411
    Tech City: Panama
    Tech State/Province: Panama
    Tech Postal Code:
    Tech Country: PA
    Tech Phone: +507.8365503
    Tech Phone Ext:
    Tech Fax: +51.17057182
    Tech Fax Ext:
    Tech Email: 71aa2b1dc4544e4ca4cfa344302e8b2e.protect@whoisguard.com
    Name Server: DNS1.REGISTRAR-SERVERS.COM
    Name Server: DNS2.REGISTRAR-SERVERS.COM
    DNSSEC: unsigned

  3. Herr IngoW sagt:

    Es sind explizit nur Telekom eigene Boxen betroffen, keine Fritz!Box!

    Bei der Fritz!Box ist die Fernwartung-Funktion an einem Telekom-Anschluss nicht aktiviert, es erscheint auch nicht die Seite "Anbieter-Dienste", da die Fernwartung für die Fritz!Box von der Telekom nicht unterstützt wird.
    Die angegebenen Seiten von AVM sind in diesen Fall wohl für das Problem nicht ganz so relevant, weil das Telekom-Netz und deren Router betroffen sind.

    Wenn dann irgendwann andere Provider betroffen sind ist die Fritz!Box ja vielleicht! dabei! wenn sie von dem jeweiligen Anbieter kommt!

  4. Dekre sagt:

    Es ist schon interessant, wie dann auf der anderen Seite des Teiches geschrieben wird. Bei BleepingComputers gibt es das:
    http://www.bleepingcomputer.com/news/security/900-000-routers-knocked-offline-in-germany-amid-rumors-of-cyber-attack/
    Die Links sind zwar gut und auch der Link zur Firmware. Aber 2 Tage und die Karte und "über 900.000" ist schon lustig. Aber irgendwie muss ja auch ein Nichtbetroffener auf der anderen Seite des Teiches nach dem Aufstehen seine Infos bekommen. Fazit – Die Erde dreht sich doch und bewegt sich um die Sonne und manche schlafen und werden dann wach.

    • Herr IngoW sagt:

      Die Karte ist ja zum "totlachen", die 900000 stimmen wohl.
      Laut der Karte haben wir ja dann schlappe 2Millionen Einwohner?
      Ansonsten glauben die Amis sowieso jeden S…………

      • Dekre sagt:

        na ja die 900.000 stammen aus der Mitteilung von Telekom von 9 Uhr MEZ bzw. 10 Uhr MEZ für den 28.11.2016. Gestern abend gegen 17 – 18 Uhr MEZ waren es wohl weit darüber. Denn ich war ja um 9 Uhr nicht mehr dabei.

  5. christian sagt:

    Heute erst hat unsere Bundesraute angekündigt, den BND weiter zu stärken.

    *aluhut-aufsetz*
    Wetten, in den kommenden 48 Stunden wird sich herausstellen, dass es russische Hacker waren. Mit diesem Hack gewinnt unser unförmiger Hosenanzug dann gleich doppelt. Denn derzeit ist die Stimmung _gegen_ oder _für_ Russland in der Bevölkerung noch recht ausgeglichen. Da reicht es dann, wenn dem gemeinen deutschen Fußvolk das Internet weggenommen wird und ihm das Feindbild 'Täter = Russland' präsentiert wird. Damit hat man mehr Zuspruch für weitere (Nato-)Sanktionen gegen Putinland und gleichzeitig lässt man immer mehr Kritiker verstummen, die sich zuvor gegen die Ausweitung der BND-Rechte ausgesprochen hatten…
    *aluhut-abnehm*

    • Herr IngoW sagt:

      Ich glaub eher nicht das die Russen damit zu tun haben.
      Wenn das Internet nicht geht kriegen sie ja keine Daten mehr (zB. über "Kaspersky").
      Es hängt ja wohl mehr mit dem "Fernwartungsprotokoll TR-069" zusammen das diese Verbrecher ausnutzen um andere als das gemeine Volk zu schädigen und dann zu erpressen.
      Dieses Fernwartungszeugs braucht man doch nicht wirklich, wenn das automatische Update eigeschaltet ist und auch funktioniert müsste doch alles gut sein.
      Die Zugangsdaten werden doch jetzt beim Neuanschluss immer dabei sein, oder man kann sie anfordern. (das eingeben dieser Daten von Hand dauert eben etwas länger)

  6. Herr IngoW sagt:

    Hier nochmal die Hilfeseite der Telekom für die Router der Telekom die betroffen sind:
    https://www.telekom.de/hilfe/hilfe-bei-stoerungen/anschluss-ausfall

    Da stehen etwas weiter unten die betroffenen Router (Speedport W 921V, Speedport W 723V Typ B, Speedport W 921 Fiber) und es wird erklärt wie man vorgehen kann (soll).

    • Dekre sagt:

      In dem Video sagt der Telekom-Mensch, dass der Router sich die neue Firmware automatisch lädt und installiert nach Stromnetztrennung. Das stimmt nicht, zumindest bei mir.

      Dann gesagt, dass mit der Einstellung Easy-Support der Router die Firmware immer automatisch installiert, wenn eine neue verfügbar ist. Auch das stimmt nicht. Ich muss immer alles händisch machen.

      • Thürk Maschke sagt:

        Gestern, spät abends, hat es bei mir mit der emfohlenen Netztrennung auch nicht geklappt.
        Heute morgen allerdings hat's dann doch gefunzt:-)

        Eine Rückmeldung:

        Nicht, dass ich Ihnen etwa schmeicheln möchte, Herr Born aber mein Eindruck ist, dass die Qualität des Blogs, ohnehin auf hohem Niveau befindlich, in letzter Zeit kontinuierlich weiter angestiegen ist.
        Aus diesem Grunde halte ich mich hier auch immer öfter immer länger immer lieber auf.
        Und nicht nur am Maiday, pardon, Patchday;-)

        Beste Grüsse:-)

  7. Dieter Schmitz sagt:

    Was heisst denn "global ausgerichteten Hackerangriff auf DSL-Modems"?

    Welcher Provider, der ebenfalls DSL-Modems nutzt, auch ausserhalb Deutschlands, ist denn noch betroffen?

    • Herr IngoW sagt:

      Thema verfehlt, setzen Sechs! :-(

      • Tim sagt:

        Och Menno…

        wobei ich finde, das gewissermaßen doch schon was dran ist, wenn der Monopolist des Landes die Hosen herunter gezogen bekommt, nachdem im Netz grade erst der größte Angriff beendet wurde…
        Vom Thema her ist unsere Netztechnik doch tatsächlich arg anfällig, wenn man die letzten Wochen mal verfolgt hat und mittendrin der bejubelte Anfang vom IoT.
        Auch ferngewartete Router gehören in diese Schublade.

        Von der Cloud zum Skynet erscheint da irgendwie nur ein kleiner Schritt zu sein… Selbst wenn die Terminatoren in der Realität nur menschliche Hacker sind.

  8. Herr IngoW sagt:

    der Hersteller der betroffenen Router ist "Arcadyan". Der Hersteller der betroffenen Geräte ist immer der gleiche. Der Sitz ist in Hsinchu in Taiwan.
    Sagt ihnen nichts dann können sie bei Wikipedia nachsehen: https://de.wikipedia.org/wiki/Arcadyan
    Hier ein paar Einzelheiten über die Router der Telekom: https://de.wikipedia.org/wiki/Speedport

  9. Dekre sagt:

    Also, alle die meckern wie die Rohrspatz auf Telekom und deren Router, hier ein interessanter Beitrag auf heise.de, in dem dann auch heise.de von seiner Kritik etwas zurücknehmen muss. Kern der Aussage – Die Router sind gar nicht anfällig gewesen, sondern haben aufgrund der Attacke einfach ihren Dienst verweigert. Am Besten alles hier nachlesen und weiter recherchieren:

    https://www.heise.de/security/meldung/Grossstoerung-bei-der-Telekom-Was-wirklich-geschah-3520212.html

    Grüße

  10. Dekre sagt:

    Neues von Telekom – Störung – – IP-Telefonie geht nicht.
    Seit ca 11 Uhr geht IP-Telefonie nicht. Das was geht ist ISDN-Telefonie. Alle die betroffen sind somit alte Prozedur:
    # Stromnetzstecker vom Router ziehen
    # etwas warten
    # Stromnetzstecker wieder hinein
    # Alles baut sich wieder auf innerhalb von bis zu ca. 2 Minuten
    # Danach geht alles wieder bis auf IP Telefonie mit der Einschränkung, dass man nicht wählen kann, jedoch eingehende Telefonate ankommen
    # Hat man zusätzlich ein ISDN-Telefon angeschlossen, so kann man über diesen telefonieren.
    # Wird dann die Verbindung beim Telefonat (egal ab angenommen IP-Telefon, oder gewählt über ISDN-Telefon) wieder beendet, so gleiche Prozedur mit Router und man kann wieder telefonieren.

  11. Webmasta sagt:

    Zur Info, seit gestern 12 Dec 2016 09:06:11 GMT gibt es ein weiteres Update 1.42.000 für den Speedport W 921V, das zugehörige Changelog fehlt noch auf der Downloadseite.

    • Dekre sagt:

      Ich habe das heute Vormittag per Zufall mitbekommen. jedenfalls muss man (zumindest bei mir) das händisch machen. Gegenwärtig gibt es nur neue Firmware für diesen Speedport-Modell. Andere kommen ggf noch in diesen Tage.

    • Dekre sagt:

      @ Webmasta, hallo – Habe das auch in dem anderen Blogbeitrag hier eingestellt und dann auch mitgeteilt, dass das IP-Telefon danach nicht mehr ging. Da half dann nur wieder Netzstecker raus, warten, Netzstecker rein. Bei reines ISDN-Telefon war der Fehler nicht. Hinzuweisen ist darauf, dass mein IP-Telefon bei "verpasste Anrufe" die falschen Daten anzeigt. Ich muss wohl das ganze Telefon wohl komplett zurücksetzen.

Schreibe einen Kommentar zu Rene Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.