Telekom tr

Erfordert der Homestart-Tarif TR-069 für die Authorisierung auf dem SIP-Server? Die Gateway sind bei uns (mittlerweile) sehr genau in IP-Adressen aufgeteilt, eine Berechtigung ist trotz geeigneter SIP Zugangsdaten nicht möglich.

Also, was war passiert?

Montags und dienstags stört ein Versagen von mehreren hunderttausend Telekom-Routern die Internet-Landschaft in Deutschland. Daß das Scheitern mit einem Anschlag zusammenhängt, wurde von der Telekom und dem Bundesinnenministerium frühzeitig bestaetigt. Eine kurze Abhörung auf Port 7547 einer öffentlich zugänglichen IP hat (!) nach wenigen Augenblicken eine Welle von Angriffen mit versuchtem Command Injektor quittiert: Der angezeigte Befehl will eine Sicherheitslücke im TR-069 Befehl nutzen, um einen NTP-Server zum Herunterladen und Ausführen einer Konfigurationsdatei von einer fremden Domain via WGT zu veranlassen.

Vielen (auch mir selbst) erschien der Sachverhalt klar: Die Telekom-Router scheinen eine Remotecodeausführung in TR-069 zu haben - es hätte kaum schlechter sein können. Es wurde angenommen, dass die Täter einen Fehler in der Nutzlast oder im Exploitcode hatten. Dies könnte den Absturz und die fehlende Infizierung der Endgeräte erklären.

Viele (!) eilten zum Exploit-Binary, um den Bug zu suchen, aber Ralf-Philipp Weinmann bekam zunächst eines der betreffenden Hardware. Er hat eine hochkarätige englischsprachige Auswertung geschrieben, die ich hier kurz in vereinfachter deutscher Sprache wiedergeben möchte: Seine erste Erkenntnis: Auf den Telekom-Geräten war kein Betriebssystem vorhanden, was eine Grundvoraussetzung dafür wäre, dass der Befehl im TR-069 Exploit funktioniert.

Das heißt, sie waren gegen den geplanten Anschlag gefeit und damit kaum ein Angriffsziel. Doch wie Ralf bemerkte, hat eine einmalige Versendung des Schwachpunktes zu keiner Rückmeldung der Devices geführt. Das heißt, sie waren nicht nur gegen den Missbrauch gefeit, sondern auch gegen die TR-069-Anfrage selbst.

Nur durch mehrfaches Senden der Anfrage konnten die Endgeräte allmählich aus dem Takt gebracht werden, bis sie nicht mehr reagieren. Zahlreiche angeblich befallene Endgeräte überprüfen kontinuierlich das Netz und stellen sicher, dass jede IP-Adresse etwa jede Minute einem Angriff auf die Ports 7547 auszusetzen ist. Bei den Telekom-Geräten ist der Anschluss offen, aber sie waren gegen diesen besonderen Code Injection-Angriff gefeit.

Dies führte dazu, dass sie - ungewollt durch die Täter - aufgrund der Zugriffshäufigkeit abstürzten. Belästigend für die Täter, belästigend für die Telekom, belästigend für die Verbraucher - ein unglückliches Mißverständnis, dessen Folge der Zusammenbruch von knapp einer Millionen Internetverbindungen ist, der nicht trivialisiert werden sollte: Er könnte auch ohne die Intention des Täters auslöst werden.

Wie hat die Deutsche Telekom etwas Falsches getan? Die Telekom wurde bereits 2014 von ihren eigenen Kundinnen und Kunden darauf hingewiesen. Auch bei der Bearbeitung von TR-069-Befehlen gibt es einen Irrtum, der wahrscheinlich in der Verantwortung des Gerätelieferanten ist. Dementsprechend sperrt die Deutsche Telekom derzeit den externen Zugriff auf diesen Anschluss und stellt den Geräten Firmware-Updates zur Verfügung.

Herzlichen Dank an dieser Stelle an Ralf Philipp, der der Sache in aller Stille auf den Grund ging, während viele (andere, auch ich selbst) zunächst auf dem Holzweg waren, dass die Telekom-Router eigentlich das eigentliche Angriffsziel und nicht der kollaterale Schaden der Anschlagswelle waren. Auch bei den Tagen der Deutschen Telekom war er zu Besuch, um über den Anschlag auf die Deutsche Telekom zu informieren.