News Telekom DSL-Störung: Speedport W 723V Typ B & 921V erhalten Updates

[smuper]

Naja, was heißt genauere Informationen. Der Angriff erfolgte über die Fernwartung, entweder TR069 (für die externe gedacht) oder eher TR064 (eigentlich für die Konfiguration aus dem LAN heraus gedacht, wird z.B. bei den Fritzboxen für die Fritz App genutzt). Anfang November gab es aber Berichte über eine Lücke mit der über die WAN ("Internet") Seite auf TR064 zugegriffen werden kann.

Je nachdem was nun der Modus Passthrough wirklich deaktiviert ist so ein Speedport auch dann noch angreifbar. Das wird dir aber wohl niemand sagen können.

Es gibt aber keine Angaben über irgendwelche Auswirkungen auf das lokale Netz, das Risiko ist bei dir ja noch mal entsprechend geringer, da der ASUS Router dahinter hängt.

 

[Berlingr]

@Thane_DE
sobald der Speedport im Modem Betrieb ist, egal welches Modell, ist der Easy Support der Telekom auch automatisch deaktiviert.
Sollte daher unproblematisch sein. TR-069/64 sollte auch nicht gehen.

Könnte das nur gerne für dich an nem Speedport mal durchgehen auf Arbeit.

Ist sowieso ne alte Firmware drauf das der Modem Betrieb noch geht oder?

 

[smuper]

Nochmal ein paar mehr Infos:

In an email to The Register, Darren Martyn, a security researcher with Insecurety Research, said that there are two issues with the Eir D-1000 broadband router, made by ZyXEL.

The first problem, he said, is that TR-064 interface is accessible via the internet-facing WAN port and allows remote management with no authentication.

This appears to be a consequence of TR-069 – aka the Customer-Premises Equipment WAN Management Protocol – which typically makes TCP/IP port 7547 available.

ISPs use this protocol to manage the modems on their network. But the server running on that port is a TR-064-compatible server and thus accepts TR-064 commands.

The second problem, according to Martyn, is that the SetNTP Server functionality in the router's TR-064 implementation is vulnerable to command injection.

"The first issue, that of TR-064 being wide open to the internet, affects a whole host of other ISPs and vendors, and is, in fact, just as serious as the second one," said Martyn.

Martyn said he has confirmed that two routers provided by UK ISP TalkTalk are vulnerable – a ZyXEL modem and the D-Link DSL-3780. And he said that devices from T-Com/T-home (SpeedPort), MitraStar, Digicom, and Aztech are also at risk. In a tweet on Monday, Martyn said he has found 48 devices are vulnerable to the TR-069/TR-064 issue.

All together, this suggests this particular security nightmare is widespread. It goes beyond Deutsche Telekom, Eir and TalkTalk: ISP subscribers using the aforementioned weak modems are at risk of infection or losing their connectivity until their firmware is updated.

The Register asked TalkTalk for comment today and was told that a response will not be immediately forthcoming because the working day in the UK was just ending.

"The TR-064 interface being accessible via WAN with no authentication means that just about anyone on the internet can interact with it, and reconfigure the device remotely," said Martyn.

 

[arvan]

Hier war auch nichts (48249), V-DSL 50 mit originalem ISDN Anschluss.

Allerdings ist mein Speedport schon vor Jahren zu einer Fritzbox 7570 geflasht worden.

Ziemlich fahrlässig: http://www.mengelke.de/Blog/GossipBox

 

[Berlingr]

@Smuper

danke für die Infos, mal sehen ob das Protokoll general überholt wird oder doch im Hintergrund an nem neuen Standard gearbeitet wird.

Zum Glück kann man einen Speedport nicht so extrem aus der Ferne verbiegen bzw. gezielt die Einwahldaten rausfischen^^

 

[Acrylium]

Wenn man unbedingt einen Fernwartungsport offen lassen muss obwohl so ein Ding als Angrifsstelle längst bekannt ist, ist man auch irgendwo selbst schuld.

 

[Sebbi]

mein Dank gilt den ganzen Anbietern, die lange keine Anmeldedaten rausgerückt haben und nur verdongelte Geräte an ihren Leitungen zuliesen, auf denen die Fernwartung dauerhaft zwangsweise aktiv ist.

diese sind für diesen Schlamassel verantwortlich!

 

[Uninstaller]

Das BSI sieht eine globale Dimension
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht davon aus, dass der Angriff nicht nur auf die Telekom abgezielt hat. Weltweit sei es zu einer Attacke auf Fernwartungszugänge bei DSL-Routern gekommen. „Dieser erfolgte, um die angegriffenen Geräte mit Schadsoftware zu infizieren. Diese Angriffe wurden auch in dem vom BSI geschützten Regierungsnetz registriert, in dem sie aber auf Grund funktionierender Schutzmaßnahmen folgenlos blieben“, teilt das BSI mit.

Ich glaube da ist gerade ein Großangriff auf´s Internet im gang.

Da habe ich ja fast richtig gelegen.

 

[ARNOFPS]

.

lol, die fritzbox ist genauso anfällig, einfach mal entsprechende CVE Bulletin's googeln.

ich hab nen kabel anschluss (nicht von der telekom) und hab gestern abend trotzdem teilweise verbindungsabbrüche im monitoring gesehen.

grundsätzlich sollte jeder eine gewisse skepsis gegenüber ALLEN endgeräten im LAN & WLAN haben, idealerweise den ganzen mist in ein eigenes VLAN auslagern.

ISP Endgerät in Bridge-Modus versetzen, eine eigene Firewall dahinter schalten ... zb: pfsense oder ipfire, anschließend von außen alles abschirmen, dann kann man sich auch etwas in sicherheit wiegen.

 

[BlauX]

W 724V Typ C ( Sercomm ) - auch nichts...

 

[krucki1]

Gestern Nachmittag ging`s wieder von ca. 17-21 Uhr. Danach hatte ich wieder Probleme und kam nicht rein.

 

[Asznee]

@hedsht mach ich alles sofort, wenn du mir eine Step by Step Anleitung schreibst.

Wenn du darauf keine Lust hast wieso erzählst du hier so ein Müll?

 

[konkretor]

Also kann ich davon ausgehen, das die Router kompromittiert wurden und die alle in die Tonne gehören.

In ein paar tausend Jahren werden sie ne Müllschicht entdecken die sie dann das Router Zeitalter taufen......

 

[webtrack]

... also ich bin auch bei der Telebum und hab die Digitalisierungsbox Smart mit angeschlossener ISDN-Anlage DX600 - und bisher keinerlei Probleme. Das sollte neben den Kübeln von Schmutz auch mal erwähnt werden.

Gruß

 

[Drummermatze]

Ich hatte hier seit letzter Woche Mittwoch Probleme.
Router syncron aber so nach 1-2h verlor er immer die Einwahl.
Zusätzlich war hier aber noch ein Kabelfehler in der Straße. Kabelfehler war behoben, ging aber immer noch nicht.
Der Support hat mir dann am Samstag für den 723V einen 724V geschickt. Seit Samstag geht wieder alles.

 

[Hakubaku]

Mal davon abgesehen, dass das auch bei anderen Modellen passieren kann... gekauft hätte ich mir diese "Eigenmarken Schrott" Hardware zu überteuerten Preisen von der Telekom nie.

 

[l_uk_e]

Sind eigentlich wirklich nur Speedport und Fritz!Box betroffen?
Ich habe einen TP-Link Archer VR200v mit der aktuellsten Firmware die auch BNG der Telekom unterstützt.
Habe VDSL 100.000 der Telekom und Freitag (25.11.16) nur Probleme. Samstag war es wieder ok, Sonntag auch. Nur zwischenzeitlich mal kurz weg. Seit gestern Abend ist alles tot.

 

[nik_]

ist auch garantiert, dass nach dem update nicht wieder die alte problematik des w723v typ b auftaucht, das games geblockt werden?

 

[MoonTower]

Hi,
was mir bei den ganzen Meldungen immer noch nicht so 100% klar wird:

Ist den ein erfolgreicher Hack im Router 100% ausgeschlossen; auch nach Firmwareupdate?
Gab es evtl. ein tieferes Eindringen, das Zugangsdaten auslesen konnte?

Grüße

 

[Fliz]

Hab bei meiner Fritzbox vorsorglich TR064 noch deaktiviert.. nutzt eh keiner. TR069 war schon aus.