Hackerangriff Telekom

[Maxi P.]

Man hört es derzeit überall:
http://www.heise.de/newsticker/meldung/ ... 06556.html
https://www.bsi.bund.de/DE/Presse/Press ... 12016.html

Scheint eine Lücke in den Speedport-Routern zu sein, in meinem Bekanntenkreis sind mehrere Telekom-Kunden mit Speedport und einige mit FritzBox.
Diejenigen mit FritzBox hatten keinerlei Probleme, mir eingeschlossen. Diejenigen, die einen Speedport haben waren von dem Angriff durch die Reihe betroffen, einige konnten garnicht mehr ins Netz, andere nur sporadisch.

Spätestens jetzt sollte jedem klar sein, dass ein Speedport am besten gleich bei Auslieferung ersetzt wird..

[video6]

Hatte Sontags das Problem.
Inzwischen geht alles wieder.
Das der Router Mist ist wusste ich von Anfang an.
Hatte aber vorher nicht einmal ein Problem zumindest was Internet und Telefon betrifft.
Über die Einstellmöglichkeiten Reden wir besser nicht die sind arg kastriert. Oder wenig vorhanden.

[Sunset]

Bei uns geht weder Telefon noch Internet... , wir haben eine Fritzbox.

Die DSL Verbindung steht, aber IPv4 und IPv6 Verbindungen werden nicht aufgebaut bzw. leben nur wenige Minuten.

[Maxi P.]

Dann wende Dich mal an AVM, die haben auf Fatzebook eben geschrieben, dass denen keine Angriffe auf FritzBoxen bekannt sind.

[Skymaxdriver]

Versuch mal einen anderen DNS Server ( zur not mal eben Googles 8.8.8.8) das hatt bei mir das Problem an der Fritzbox behoben. Der Telekom eigene scheint auch nicht ganz gesund zu sein.

[ferdimh]

Versuch mal einen anderen DNS Server ( zur not mal eben Googles 8.8.8.8) das hatt bei mir das Problem an der Fritzbox behoben. Der Telekom eigene scheint auch nicht ganz gesund zu sein.

DNS-Probleme passen erschreckend gut zu den Folgen des bekannten Angriffs. Auf dem Server, der die Software ausgeliefert hat, habe ich Schadsoftware für 7 Plattformen gefunden. Zwei davon sind Speedports. Von dem Rest spricht (noch?) keiner.
Die beiden Speedportsoftwares spielen sich gegenseitig in die Hände, versuchen aber (Stand: 28.11. irgendwann mittags) nicht, die weiteren Plattformen anzugreifen. Die Verbreitung weiterer Schadsoftware wäre damit unabhängig von der Speedportsoftware möglich, ist aber nicht im großen Stil bemerkt worden (zum Mitdenken: Das Problem wurde gefunden, weil entsprechender heftiger Traffic beim ISC aufgefallen ist, nicht bei der Telekom!)
Wenn einfach nur ein Bruchteil von 900000 genannten Routern betroffen ist (z.B. 100000), dürfte ein weiteres systematisches Problem noch nicht aufgefallen sein.

[Turbine]

Wir in der Arbeit tippen darauf, des es ein fehlerhaftes Update war, das sie als Hackerangriff verkauft haben, drum konnten sie es auch so schnell beheben...

[ferdimh]

Nope, das war defintiv kein fehlerhaftes Update. Von den Paketen, die von infizierten Routern verschickt wurden, habe ich Mitschnitte. Der Ausbreitungsmechanismus ist damit bekannt.
Kurz zusammengefasst gab es folgende Fehler:
1. Der Router nimmt von JEDEM ohne irgendeine Form der Authentifikation Konfigurationsänderungen an
2. Der Router ist außerdem nicht gegen Shellinjection gesichert, so dass man in einer "Konfigurationsänderung" beliebigen Code verstecken kann.

2. ist schlimm genug und das aktuell eskalierte Problem (das gestopft sein dürfte). 1. ist mehr so der ultimative Horror.

Kleiner Hinweis am Rande: Die Schadsoftware ist auf 2014 datiert, es kam gerade nur eine neue Version raus (vermutlich mit dem Fehler, der die Router totgelegt hat). Das Ding ist also seit Ewigkeiten im Umlauf.

[Finger]

Ich sehe da keinen Bezug zumnForum bisher....

[Gernstel]

Das Thema finde ich aus Bastlersicht insofern interessant, als das der Trend zu immer mehr Vernetzung geht und dass man sich so vielleicht sensibilisieren kann, wie man es gescheit macht statt Türen zu öffnen oder gar Zombies zu gebären.

Und dann interessiert es mich noch aus Sicht eines potentiell Betroffenen. In Wikipedia lese ich zu dem angeblich angegriffenen Wartungssystem TR-069, dass es http-/https-basiert übertragen soll. Ein oberflächlicher Blick in die Unterlagen beim Urheber http://www.broadband-forum.org zeigt mir jedoch zumindest bei der Weiterentwicklung ein ganzes Bündel weiterer Protokolle. Das ist total unübersichtlich, und nun fühle ich mich, auch wenn ich keinen der zur Zeit betroffenen Router besitze, doch gefährdet.

@ferdimh:
Du sprachst sieben betroffene Plattformen an. Magst Du zu den bisher ungenannten noch etwas sagen, um ggf. Gefährdungen erkennen zu können? Hast Du Tipps für Schutzmaßnahmen?

[zauberkopf]

1. Der Router nimmt von JEDEM ohne irgendeine Form der Authentifikation Konfigurationsänderungen an
2. Der Router ist außerdem nicht gegen Shellinjection gesichert, so dass man in einer "Konfigurationsänderung" beliebigen Code verstecken kann.

ähh... WTF ?!
Moment.. wir haben November 2016... ich komme mir gerade vor wie 1996..

probiere doch mal : router.ip/../../../../etc/passwd..

Ich sehe da keinen Bezug zumnForum bisher....

Naja.. recht hasste.. aber ich muss gerade noch mal alte Zeiten revue passieren lassen..
Früher gabs ne tolle website.. ich glaube nannte sich rootshell oder so, da gabs zu jedem System auch die passend dokumentierte Sicherheitslücke.
Damit habe ich gelernt, und irgendwann habe ich dann exploits auch mal selber geschrieben.
Jedenfalls.. wir hatten viel viel Spass !

Frank.. guck mal.. der Rechner hat aber viele Netzwerkkarten..
lass mal sehen.. JAN ! DAS IST DER ZENTRALROUTER DER UNI! Ja ja.. keine Panik..

Hab dann aber auch dem Systemadmin nen Zettel auf seinen Drucker geschickt : "Du.. ändere mal Dein Passwort und deaktivere diesen... Dienst hier. Ein Freund.. "

Philsophisch gesehen.. ist das halt Kreatives Softwarefrickeln...

Letztens las ich wieder ein paar Bücher aus dem Dune Zyklus.. SciFi ohne Computer.. Eine Welt in der "Denkmaschinen" verboten sind.. faszinierend !

[Sunset]

Danke für die Tips mit den alternativen DNS Adressen.

Ich habe die OpenDNS 208.67.222.222 und 208.67.220.220 eingetragen, leider ohne Erfolg.
Auch mit Google DNS 8.8.8.8 geht es nicht.
Der Router wurde jedesmal nach eintragen der geänderten DNS Server neu gestartet.

Nach wie vor wird eine DSL Verbindung aufgebaut, ein Login und IPv4 oder IPv6 Verbindung ist nicht möglich.

[ferdimh]

Du sprachst sieben betroffene Plattformen an. Magst Du zu den bisher ungenannten noch etwas sagen, um ggf. Gefährdungen erkennen zu können? Hast Du Tipps für Schutzmaßnahmen?

Die anderen 5 Plattformen kann man (ebenso wie die zwei bekannten) lediglich am Befehlssatz des Prozessors unterscheiden. Mehr Infos kann ich aus dem Binary nicht herauslesen.
Und damit kann ich ungefähr so viel sagen: Es liegt Material vor, mit dem Theoretisch ungefähr jeder Router angegriffen werden könnte.
Man findet unter dem von mir vorhin geposteten Link den Server von dem aus der Schadcode verteilt wurde. Dort kann man sich ihn auch herunterladen bzw die weiteren Dateien, wenn man die "1" bis zur 7 hochzählt.

[Lötfahne]

Keine Probleme, trotz kompletter T-Anschur Ausrüstung.

[Fritzler]

Bei unseren eigenen Tests des Netzwerkchecks simulierten wir mit "netcat -l -p 7547" einen offenen TR-069-Port. Der wurde schneller von fremden System angegriffen, als wir selbst unsere Tests starten konnten

Shitports der Telekom eben

Da hat man eine Fernwartungsschnittstelle bei der seid über einem Monat der Exploit bekannt ist und solche Fernwartungsschnittstelle wird nicht genutzt um etwa die Lücke zu stopfen...
Erst als es richtig brannte und diese Schnittstelle bereits ausgenutzt wurde für den Hack gabs auf einmal innerhalb eines Tages ein Update, sieh an.
GANZ schwache Leistung der Telekom!

Lesestoff:
https://isc.sans.edu/forums/diary/Port+ ... ems/21759/

[zauberkopf]

Ich habe die OpenDNS 208.67.222.222 und 208.67.220.220 eingetragen, leider ohne Erfolg.
Auch mit Google DNS 8.8.8.8 geht es nicht.
Der Router wurde jedesmal nach eintragen der geänderten DNS Server neu gestartet.

Kurz : KAnnst Du 8.8.8.8 überhaupt anpingen ?
(ping 8.8.8.8)
Wenn ja, hast Du die DNS im Router eingetragen ?
Das würde das erklären.
Ich habe meine Clients auf 8.8.8.8 umgestellt, weil der Router an dem ich hänge diesbezüglich total die macke zu haben scheint.. 8.8.8.8 geht einfach fixer.

[uxlaxel]

Ich habe die OpenDNS 208.67.222.222 und 208.67.220.220 eingetragen, leider ohne Erfolg.
Auch mit Google DNS 8.8.8.8 geht es nicht.
Der Router wurde jedesmal nach eintragen der geänderten DNS Server neu gestartet.

Kurz : KAnnst Du 8.8.8.8 überhaupt anpingen ?
(ping 8.8.8.8)
Wenn ja, hast Du die DNS im Router eingetragen ?
Das würde das erklären.
Ich habe meine Clients auf 8.8.8.8 umgestellt, weil der Router an dem ich hänge diesbezüglich total die macke zu haben scheint.. 8.8.8.8 geht einfach fixer.

ich hab (auf empfehlung eines freundes) die 8.8.8.8 als DNS-server bei mir in der netzwerkumgebebung eingetragen und dann konnte ich wieder ganz normal surfen.
interessanter weise konnte ich, internetseiten, deren IP ich kannte, vorher ganz normal aufrufen. nur das klassische surfen ging nicht. auch telegram (nachtichten-dienst, chat mit freunden) ging weiterhin. einige apps auf dem schmierfon, welche offensichtlich direkt feste IPs ansprachen, funktionierten noch.

egal, angriff ist vorbei und ich als endanwender kann wieder surfen

[Andreas_P]

Bei mir arbeitet eine Fritzbox 7490 ohne Probleme.
Habe keine Ausfälle von Internet, Telefon und Co zu vermelden.
Das Speedport gedöns was einen die Telekom angedreht hat wurde
würde sehr schnell gegen die Fritzbox ersetzt.
Für zwei Dinge taugen die Speedport Teile noch was. Zum
Tontaubenschiesen oder das man diese Thermisch behandelt.

[Sunset]

Ich habe die OpenDNS 208.67.222.222 und 208.67.220.220 eingetragen, leider ohne Erfolg.
Auch mit Google DNS 8.8.8.8 geht es nicht.
Der Router wurde jedesmal nach eintragen der geänderten DNS Server neu gestartet.

Kurz : KAnnst Du 8.8.8.8 überhaupt anpingen ?
(ping 8.8.8.8)
Wenn ja, hast Du die DNS im Router eingetragen ?
Das würde das erklären.
Ich habe meine Clients auf 8.8.8.8 umgestellt, weil der Router an dem ich hänge diesbezüglich total die macke zu haben scheint.. 8.8.8.8 geht einfach fixer.

Ich habe die DNS Server in der Fritzbox eingetragen, ist übrigens auch eine 7490.

Es geht weder VoIP noch Internet, daher geht auch kein Ping irgendwo hin.
Selbst die Box im internen LAN reagiert komisch langsam, ich habe zufällig noch die neue Laborversion des Fritz OS 06.69 hier, die flashe ich jetzt gerade auf die Box.

Weiß jemand, wie ich prüfen kann, ob auf der FritzBox eine Schadsoftware läuft?

Danke.

[Sunset]

Ach ja, Nachtrag:

Die Telekom hat gerade noch eine SMS geschickt:

... heute konnten wir die Störung leider nicht beheben. Ab 8 Uhr am nächsten Werktag kümmern wir uns direkt wieder darum ...

[Captain Einsicht]

Die SMS kenne ich nur zu gut.

Schon mal einen anderen Router getestet ?
Geht bei der Laborversion noch Telnet ?

Walter

[Sunset]

Die SMS kenne ich nur zu gut.

Schon mal einen anderen Router getestet ?
Geht bei der Laborversion noch Telnet ?

Walter

Der Vorgänger von der Friztbox war ein Speedport. Den habe ich an die Telekom zurück geschickt.

Telnet habe ich noch nicht getestet.

[Captain Einsicht]

Muss man vorher über das Telefon Freischalten (nicht die Dümmste idee) aber wen ich mich nicht Irre wird das nicht mehr bei allen Boxen unterstützt.

Hatte vor paar Wochen auch mit dem W-Lan von meiner Box Probleme aber da muss ich noch auf Fehlersuche gehen USB 3.0 hat sie nicht und meine Ersatzkiste meldet Brav Störung ist aber nicht der Hackerangriff weil schon Tage zuvor kein DSL mehr Synchron war.

Walter