leipziger1979
Rear Admiral
- Registriert
- Dez. 2014
- Beiträge
- 6.101
Betrifft das nur diese Speedports oder grundsätzlich alle Speedports die diesen EasySupport Service anbieten und wo es aktiv ist/war ?
Weiss wer was dazu ?
News Telekom DSL-Störung: Speedport W 723V Typ B & 921V erhalten Updates
- Ersteller Jan
- Erstellt am
- Zur News: Telekom DSL-Störung: Speedport W 723V Typ B & 921V erhalten Updates
Betrifft das nur diese Speedports oder grundsätzlich alle Speedports die diesen EasySupport Service anbieten und wo es aktiv ist/war ?
Weiss wer was dazu ?
@leipziger1979
Man kann aktuell nur vermuten.Es sieht nach Nachlässigkeit von Arcadyan aus. DIe haben aber noch deutlich mehr Speedports als die 3 betroffenen hergestellt. Stand jetzt müssen die Geräte über TR069 und 64 verfügen.
Ich würde aktuell davon ausgehen, dass die Speedports von anderen Herstellern nicht betroffen sind. Liste:
https://de.wikipedia.org/wiki/Speedport
Man kann aktuell nur vermuten.Es sieht nach Nachlässigkeit von Arcadyan aus. DIe haben aber noch deutlich mehr Speedports als die 3 betroffenen hergestellt. Stand jetzt müssen die Geräte über TR069 und 64 verfügen.
Ich würde aktuell davon ausgehen, dass die Speedports von anderen Herstellern nicht betroffen sind. Liste:
https://de.wikipedia.org/wiki/Speedport
Herdware
Fleet Admiral
- Registriert
- Okt. 2011
- Beiträge
- 17.897
smuper schrieb:
So ein Nebenjob als Bot muss ja nicht zwangsläufig große Bandbreiten verschlingen. Wenn er clever programmiert ist, nutzt der Schädling im Router überhaupt nur dann Bandbreite, wenn die nicht anderweitig abgerufen wird. Im Prinzip nicht anders, als die von diversen Providern angebotenen, öffentlichen WLAN-Hotspots über Router von Kunden.
Und darauf, dass so ein Missbrauch schon auffallen und abgestellt wird, wenn viele davon betroffen sind, würde ich auch nicht blind vertrauen. Da herrscht doch eine enorme Gleichgültigkeit von Seiten der Verantwortlichen.
Es gibt aber Sicherheitsfirmen die von der Aufdeckung solcher Dinge leben bzw. ihr Image damit schärfen. 900.000 Router hätte man sicher nicht ewig geheimhalten können, spätestens wenn sie Aufmerksamkeit durch die ersten Angriffe bekommen wird so ein Botnetz identifiziert und untersucht.
Die Frage ist ja auch immer, was will man erreichen, will man ein Botnetz, will man Daten abgreifen, will man die Opfer schröpfen (siehe AVM Telefonie Hack).
Andere Frage wäre: Was soll dem Privatnutzer schon an Schaden entstehen.
Ergänzung ()
Die Frage ist ja auch immer, was will man erreichen, will man ein Botnetz, will man Daten abgreifen, will man die Opfer schröpfen (siehe AVM Telefonie Hack).
Andere Frage wäre: Was soll dem Privatnutzer schon an Schaden entstehen.
DekWizArt
Commander
- Registriert
- Sep. 2015
- Beiträge
- 2.246
http://www.golem.de/news/telekom-au...fernwartungsinterface-tr-064-1611-124751.html
Klasse die Aussage der Telekom am Schluss des Artikels.. also ich sehe da die Unfähigkeit eher bei der Telekom.
Klasse die Aussage der Telekom am Schluss des Artikels.. also ich sehe da die Unfähigkeit eher bei der Telekom.
Inxession
Captain
- Registriert
- Sep. 2008
- Beiträge
- 3.344
Ich denke schon Sonntag hat die Telekom geahnt was im Gange ist.
Die Sperre des Betroffenen Ports war eine schnelle und richtige Entscheidung.
Die Firmware muss ja eigtl schon bereit gewesen sein. So schnell eine zur Verfügung zu stellen ist unglaubwürdig.
Trotzdem muss man der Telekom hier eigtl ein Lob aussprechen, da sie schnell gehandelt haben und den Betroffenen sogar Alternativen über das Funknetz kostenlos angeboten haben.
Auf der anderen Seite glaube ich nicht, das nix mehr kommt.
So genau kann in 2 Tagen kein Mensch die Firmware untersuchen, um 100% auszuschließen das es doch noch Lücken gibt, oder der Exploit womöglich doch etwas Hinterlassen hat. (Hintertürchen) ..
Krass zu sehen, wie abhängig die Menschheit von dem globalen Netzwerk ist.
Krass der Gedanke, das ein Gau dies alles lahm legen kann. (Mr. Robot lässt grüßen)
Und Verschwörung hin oder her ... die Zukunft bringt nichts gutes ..
Die Sperre des Betroffenen Ports war eine schnelle und richtige Entscheidung.
Die Firmware muss ja eigtl schon bereit gewesen sein. So schnell eine zur Verfügung zu stellen ist unglaubwürdig.
Trotzdem muss man der Telekom hier eigtl ein Lob aussprechen, da sie schnell gehandelt haben und den Betroffenen sogar Alternativen über das Funknetz kostenlos angeboten haben.
Auf der anderen Seite glaube ich nicht, das nix mehr kommt.
So genau kann in 2 Tagen kein Mensch die Firmware untersuchen, um 100% auszuschließen das es doch noch Lücken gibt, oder der Exploit womöglich doch etwas Hinterlassen hat. (Hintertürchen) ..
Krass zu sehen, wie abhängig die Menschheit von dem globalen Netzwerk ist.
Krass der Gedanke, das ein Gau dies alles lahm legen kann. (Mr. Robot lässt grüßen)
Und Verschwörung hin oder her ... die Zukunft bringt nichts gutes ..
braindrain
Cadet 4th Year
- Registriert
- Sep. 2007
- Beiträge
- 76
[eTP]AcCiDeNt schrieb:
...außer man tut es
Wenn es heute einen Schlag täte und es würde kein Internet und kein Mobilfunk mehr geben, dann würde ich das persönlich sicher ein paar Tage bedauern - mehr aber auch nicht.
Doom Squirrel
Banned
- Registriert
- Juli 2011
- Beiträge
- 2.565
Hi,
ich bin zwar mit Vodafone (VDSL50, EasyBox 804) online, hatte aber bis Mitte letzter Woche massive Verbindungsprobleme. Die DSL Verbindung war sehr instabil: ständige Disconnects (mal für Stunden, mal für Minuten) und es kamen statt 50 nur maximal 15 Mbit/s an. Seit einer Woche jedoch ist die Leitung wieder stabil: keine Disconnects mehr und es liegen auch die vollen 50 MBit/s an.
Nachdem bekannt wurde, dass das ein größeres Problem ist, habe ich mal einen Blick in das Logbuch der EB804 geworfen und siehe da, seit 22.11. sind mehrere Angriffe auf dem ICMP-Protokoll erfolgt, die von der Firewall abgewehrt worden ist.
Ist das ebenfalls dieser DSL-Angriff?
ich bin zwar mit Vodafone (VDSL50, EasyBox 804) online, hatte aber bis Mitte letzter Woche massive Verbindungsprobleme. Die DSL Verbindung war sehr instabil: ständige Disconnects (mal für Stunden, mal für Minuten) und es kamen statt 50 nur maximal 15 Mbit/s an. Seit einer Woche jedoch ist die Leitung wieder stabil: keine Disconnects mehr und es liegen auch die vollen 50 MBit/s an.
Nachdem bekannt wurde, dass das ein größeres Problem ist, habe ich mal einen Blick in das Logbuch der EB804 geworfen und siehe da, seit 22.11. sind mehrere Angriffe auf dem ICMP-Protokoll erfolgt, die von der Firewall abgewehrt worden ist.
Ist das ebenfalls dieser DSL-Angriff?
Anhänge
Zuletzt bearbeitet:
Unterm Strich ist mir eigentlich vollkommen wurscht wieso weshalb irgendwas nicht geht, weil ich dafür zahle dass es geht.
Nicht jede Endkunde hat Lust sich mit Routern, Ports, Protokollen und Sicherheit auseinanderzusetzen, weil ich davon ausgehe das ich für diese exorbitant hohen Monatsbeiträge auch eine gewisse Leistung erwarten kann und dazu gehören in der heutigen Zeit vernünftige Hard und Software die selbstverständlich der Provider zu stellen hat und so einzurichten ist, das es auch mein 70er Vater hinkriegt dem man durch dubiose Aussagen überhaupt erst zu Internet und VOIP gedrängt hat.
Und wenn ich dann im Morgenmagazin einen Telekomsprecher höre "Die Angriff wurden zum glück sehr dilettantisch ausgeführt" da muss ich mich fragen in was für einem Film ich eigentlich bin.
Nicht jede Endkunde hat Lust sich mit Routern, Ports, Protokollen und Sicherheit auseinanderzusetzen, weil ich davon ausgehe das ich für diese exorbitant hohen Monatsbeiträge auch eine gewisse Leistung erwarten kann und dazu gehören in der heutigen Zeit vernünftige Hard und Software die selbstverständlich der Provider zu stellen hat und so einzurichten ist, das es auch mein 70er Vater hinkriegt dem man durch dubiose Aussagen überhaupt erst zu Internet und VOIP gedrängt hat.
Und wenn ich dann im Morgenmagazin einen Telekomsprecher höre "Die Angriff wurden zum glück sehr dilettantisch ausgeführt" da muss ich mich fragen in was für einem Film ich eigentlich bin.
DekWizArt
Commander
- Registriert
- Sep. 2015
- Beiträge
- 2.246
Das ist eben der Punkt, wieso steht übrigens auch in dem Golem Artikel.
"Auf Port 7547 lauscht auf diesen Routern ein Webserver, der die beiden Protokolle TR-069 und TR-064 implementiert. TR-069 ist ein Fernwartungsprotokoll, mit dem Internet-Service-Provider wie die Telekom Einstellungen an den Routern ihrer Kunden vornehmen können. Das Protokoll TR-064 ist eigentlich nur für die Konfiguration von Geräten in lokalen Netzwerken vorgesehen. Dass es auf einem vom Internet aus zugänglichen Port aktiviert ist, ist auf jeden Fall ein Fehler. Befehle für diese Protokolle werden als HTTP-POST-Request mittels eines SOAP-Datenformats gesendet. Im Fall der Telekom-Router kann man TR-064 ohne jede Authentifizierung nutzen. Das alleine ist schon problematisch, man könnte etwa einen anderen DNS-Server oder Router konfigurieren. Doch eine Funktion in diesen Routern hat eine zusätzliche Script-Injection-Sicherheitslücke: Die Funktion "SetNTPServer", mit der man Zeitserver für den Router konfigurieren kann, ermöglicht es, in Backticks eingebettete Befehle zu schicken, die dann auf dem betroffenen System ausgeführt werden."
Das klingt für mich schon fast danach, als ob der "Telekom-Hack" eher ein Versehen war, der Port war eben einfach offen und ungesichert. Eigene Dämlichkeit, also die der Telekom, nicht die des Kunden.
edit: Passend dazu der Artikel von heise.de:
http://www.heise.de/newsticker/meld...tem-Hackerangriff-auf-DSL-Modems-3506556.html
Alleine das hier zeigt ziemlich gut wer hier der wirkliche Schuldige ist:
"Der Angriff zielt wohl nicht spezifisch auf die Telekom, sie scheint allerdings mit Abstand das größte Opfer zu sein. Weltweit wird der Port 7547 auf im Netz erreichbaren Endgeräten angegriffen. Dabei soll eine bekannte Schwachstelle im Fernwartungsprotokoll TR-069 ausgenutzt werden. Hierzu hat das Internet Storm Center des SANS-Instituts alle bisher öffentlich verfügbaren Informationen zusammengetragen. Es sieht alles danach aus, als ob es sich um eine Variation der TR-069-Lücke handelt, die bereits 2014 von CheckPoint publik gemacht worden war. Zu diesem Zeitpunkt hatten deutsche Provider (darunter auch die Telekom) ihre Netze für sicher erklärt."
Ganz nett zu sehen was man selbst so an offenen Ports hat: nmap -A -T4 eigene-öffentliche-IP-Adresse (falls das eine IPv6 Adresse ist, benötigt der Befehl noch das Argument -6)
"Auf Port 7547 lauscht auf diesen Routern ein Webserver, der die beiden Protokolle TR-069 und TR-064 implementiert. TR-069 ist ein Fernwartungsprotokoll, mit dem Internet-Service-Provider wie die Telekom Einstellungen an den Routern ihrer Kunden vornehmen können. Das Protokoll TR-064 ist eigentlich nur für die Konfiguration von Geräten in lokalen Netzwerken vorgesehen. Dass es auf einem vom Internet aus zugänglichen Port aktiviert ist, ist auf jeden Fall ein Fehler. Befehle für diese Protokolle werden als HTTP-POST-Request mittels eines SOAP-Datenformats gesendet. Im Fall der Telekom-Router kann man TR-064 ohne jede Authentifizierung nutzen. Das alleine ist schon problematisch, man könnte etwa einen anderen DNS-Server oder Router konfigurieren. Doch eine Funktion in diesen Routern hat eine zusätzliche Script-Injection-Sicherheitslücke: Die Funktion "SetNTPServer", mit der man Zeitserver für den Router konfigurieren kann, ermöglicht es, in Backticks eingebettete Befehle zu schicken, die dann auf dem betroffenen System ausgeführt werden."
Das klingt für mich schon fast danach, als ob der "Telekom-Hack" eher ein Versehen war, der Port war eben einfach offen und ungesichert. Eigene Dämlichkeit, also die der Telekom, nicht die des Kunden.
edit: Passend dazu der Artikel von heise.de:
http://www.heise.de/newsticker/meld...tem-Hackerangriff-auf-DSL-Modems-3506556.html
Alleine das hier zeigt ziemlich gut wer hier der wirkliche Schuldige ist:
"Der Angriff zielt wohl nicht spezifisch auf die Telekom, sie scheint allerdings mit Abstand das größte Opfer zu sein. Weltweit wird der Port 7547 auf im Netz erreichbaren Endgeräten angegriffen. Dabei soll eine bekannte Schwachstelle im Fernwartungsprotokoll TR-069 ausgenutzt werden. Hierzu hat das Internet Storm Center des SANS-Instituts alle bisher öffentlich verfügbaren Informationen zusammengetragen. Es sieht alles danach aus, als ob es sich um eine Variation der TR-069-Lücke handelt, die bereits 2014 von CheckPoint publik gemacht worden war. Zu diesem Zeitpunkt hatten deutsche Provider (darunter auch die Telekom) ihre Netze für sicher erklärt."
Ganz nett zu sehen was man selbst so an offenen Ports hat: nmap -A -T4 eigene-öffentliche-IP-Adresse (falls das eine IPv6 Adresse ist, benötigt der Befehl noch das Argument -6)
Zuletzt bearbeitet:
Rodjkal schrieb:
Das Problem mit den Fernwartungsports ist doch folgendes: ich behaupte mal, 90% der Leute mit inet Anschluss haben 0 Ahnung. Manche, wie dein Papa, haben Glück jmd zu haben, der sich Auskennt. Hätte die tkom nicht die Möglichkeit eine Fernwartung durchzuführen, bräuchten sie 2 Armeen an fahrenden Technikern. Diese wollen die Kunden aber nicht bezahlen, muss ja alles so günstig wie möglich sein.
Mir fällt da spontan kaum eine Alternative ein.
DekWizArt
Commander
- Registriert
- Sep. 2015
- Beiträge
- 2.246
Aus dem golem Artikel:
"Generell erscheint es sehr problematisch, dass Router überhaupt für die Wartung durch den Internet-Service-Provider Ports nach außen öffnen, denn derartige Services bieten immer eine große Angriffsfläche. Selbst wenn man generell die Wartung von außen ermöglichen möchte, wäre es sinnvoller, wenn die Router von sich aus eine Verbindung zu einem Service-Server aufbauen würden."
"Generell erscheint es sehr problematisch, dass Router überhaupt für die Wartung durch den Internet-Service-Provider Ports nach außen öffnen, denn derartige Services bieten immer eine große Angriffsfläche. Selbst wenn man generell die Wartung von außen ermöglichen möchte, wäre es sinnvoller, wenn die Router von sich aus eine Verbindung zu einem Service-Server aufbauen würden."
Mich würde sehr interessieren, ob der Speedport Hybrid gegen den Angriff definitiv "immun" war (nahezu keine Beschwerden von Hybrid-Usern, kein Firmware-Update), oder ob hier ganz im Gegenteil ein Exploit erfolgreich war, aber eben nur unauffällig. Gibt es speziell dazu Stellungnahmen seitens der Telekom ?
engineer123
Captain
- Registriert
- Jan. 2009
- Beiträge
- 3.764
man wird das Gefühl nicht los, dass es einige Zeit kein Skandälchen mit der Telekom gab, und sich in einigen etwas angesammelt hat...
Jetzt ist mal wieder die richtige Zeit um sie dem Fraß vor zu werfen, so geil wie hier in manchen Posts abgeladen wird
Jetzt ist mal wieder die richtige Zeit um sie dem Fraß vor zu werfen, so geil wie hier in manchen Posts abgeladen wird
H
hrafnagaldr
Gast
Col.Kurtz schrieb:
Der Hybrid ist von Huawei, die Geräte waren wohl generell nicht betroffen. Steht aber zigmal hier im Thread.
