Wer trägt die Schuld am Ausfall der 900.000 Telekom-Router?

Über einen langen Zeitraum hinweg mussten sich Heimanwender nicht mit Routern beschäftigen. Viele wissen lediglich, dass die kleinen Kästen aus Plastik das Internet zu Hause bereitstellen. Nach der Einrichtung verstauben sie meist hinter dem Sofa oder sonst irgendwo an einer unauffälligen Stelle.

In der letzten Zeit rücken Router aber immer mehr in das Blickfeld der Öffentlichkeit und damit auch in das der Normalverbraucher. Das ist gut, denn die Geräte sind die Schnittstelle ins Internet und haben aus sicherheitsrelevanten Aspekten ohnehin mehr Aufmerksamkeit verdient.

Erst Ende November musste die Telekom verkünden, dass rund 900.000 Router vorübergehend funktionsuntüchtig seien. Lange hat sich die Telekom bedeckt gehalten, worin der Grund dafür lag. Mittlerweile sind wir darüber informiert wurden. Die Telekom hat dazu hier Stellung genommen.

Was war passiert?

Vorneweg muss man ganz klar sagen, dass die Angreifer ihr eigentliches Ziel nicht erreicht haben. Die Router wurden nicht kompromittiert, weil die Geräte gar nicht auf Linux basierten und die Malware deshalb nicht ausgeführt werden konnte. Die Telekom-Router sind nur wegen der nicht mehr zu bewältigenden Anfragewelle eines DoS-Netzwerks teilweise oder ganz ausgefallen. Anstatt die Router für ein Botnetz zu kapern, haben die Angreifer die Geräte vorübergehend unbrauchbar gemacht. Nach einem Neustart war die Funktion vieler Telekom-Router wieder gewährleistet.

Zusammen mit dem Hersteller der Router konnte die Sicherheitslücke innerhalb von zwölf Stunden durch ein ausgerolltes Update geschlossen werden. Wie das BSI bekannt gab, war der Angriff Teil eines weltweiten Angriffs. Das Netz der Telekom wurde also nicht gehackt. Lediglich 4% der Telekom-Kunden waren von der Störung betroffen.

Was hat es mit TR-069 auf sich?

In Verbindung mit dem Angriff auf die Telekom-Router taucht immer wieder TR-069 auf. Ein dem Mirai-Botnetz ähnliches Netzwerk versucht weltweit Router aufzuspüren, die über das Fernwartungsprotokoll TR-069 auf Port 7547 gekapert und für die Vergrößerung des Botnetzes verwendet werden sollen.

Das Fernwartungsprotokoll TR-069 hat eigentlich zwei Funktionen. Zunächst einmal wird der Router über diesen Kanal konfiguriert, wenn er das erste Mal bei einer Kundin zu Hause angeschlossen wird. Der Provider versorgt den Router daraufhin mit allen relevanten Daten, damit ein problemloses Surfen möglich ist. Bei manchen Providern musste man bei der ersten Einrichtung die Konfigurationsdaten noch selbst in den Router eingeben. Über TR-069 geht das also automatisch.

Wenn der Router dann im Netz ist, kann das Protokoll dazu verwendet werden, den Router mit neuen Firmware-Updates zu versorgen oder umzukonfigurieren. Diese zweite Funktion ist allerdings ein wenig fragwürdig, da Router auch Client-seitig automatische Updates anstoßen können. Dafür benötigen sie keinen Server der am Port 7547 anklopft, um eine Konfiguration zu starten. Wenn man den Gedanken fortführt, könnten beispielsweise auch die Adressen der DNS-Server im Router derart umgestellt werden, sodass User letztendlich auf Phishing-Seiten landen.

Das Security-Team von Heise hat einen Online-Check bereitgestellt. Damit kann überprüft werden, ob der eigene Router auch angreifbar wäre. Bei einem positiven Testergebnis sollte man handeln. Bei vielen AVM Fritz-Routern kann der Fernwartungsport deaktiviert werden. Wer seine Routerkonfigurationen nicht ändern kann, sollte beim jeweiligen Provider nachfragen. Die Telekom hat indes angekündigt, den Zugriff auf das TR-069-Protokoll zukünftig blockieren zu wollen.

Autor , ESET