In diesem Monat wurde eine Schwachstelle entdeckt, die von unsichtbaren Hackern ausgebeutet wurde, die einen vorgefertigten Schwachpunkt mit Programmcode aus dem bösartigen Open-Source-Botnet-Code Mirai kombiniert haben. Der Anschlag auf anfällige Router ging ihnen offenbar in die Quere und hat nicht zu Zombie-Telekommunikations-Routern, sondern zum Ausfall von Internetzugang, Voice over IP und Fernseher bei den betreffenden Endverbrauchern geführt.
Anscheinend schlucken die Router fehlerhafte Malware. Der bösartige Code wird nur im Speicher der betreffenden Vorrichtungen gespeichert. Durch einen erneuten Start eines betreffenden Router wird die Infizierung aufgehoben. Weil das Endgerät dennoch zeitnah wieder angesteckt werden würde, hat die Telekom inzwischen den Verkehr für den zuständigen Hafen 7547 in ihrem Netzwerk vollständig ausgetrocknet.
In DSL-Routern des irischen Anbieters Emir wurde die zugrunde liegende Verwundbarkeit am vergangenen Wochenende aufgedeckt. Ähnlich wie die betreffenden Speedport-Modelle der Telekom, offener Anschluss 7547 für den Datenverkehr aus dem Öffentlichen Versorgungsnetz. Die Schnittstelle ist Teil des Fernwartprotokolls TR-069, wird aber auch für das dazugehörige Protokol TR-064 genutzt - und gerade hierin besteht die Verwundbarkeit.
Der TR-064 sollte nur über das lokale Netzwerk zugänglich sein. Jeder Kunde im Netzwerk kann über diese so genannte so genannte SOAP-Oberfläche die DNS- und DNTP-Konfiguration der Endgeräte mit POST-Requests verändern - und zwar ohne jegliche Authentisierung. Allein das ist schon schwerwiegend, aber die Router von Eir und Telekom haben ein noch schwerwiegenderes Übel, da sie einen Firmware-Fehler haben, der es ihnen ermöglicht, bösartigen Code in diese Oberfläche zu schießen und den Router zu ersetzen.
Im Telekom-Fall hat das wahrscheinlich nicht geklappt, aber die Firmwarelücke ist wahrscheinlich schon etwas größer geworden. Die Entdeckerin dieses Phänomens hat am 17. Oktober einen Angriff auf das populäre metasploitische Framework durchgeführt, das der Täter dann wahrscheinlich in eine modifizierte Variante des Mirai-Wurms integrierte. Bereits seit dem Boom am vergangenen Wochenende läuft die Uhr für die Telekom.
Der Provider hat in der Zwischenzeit Aktualisierungen vorgenommen. Weshalb der Konfigurations-Port für TR-069 und TR-064 im Netzwerk des in Bonn ansässigen Anbieters überhaupt frei zugänglich war, ist jedoch nach wie vor fraglich. Auch ohne die Firmwarelücken hätten Hacker damit die DNS-Einstellungen von Router verändern können.