Speedport-Hack – Telekom kannte die Schwachstelle

Ein Detail zu dem großflächigen Ausfall bei Telekom-DSL-Kunden gestern, das in den Mainstream-Berichten häufig fehlt:

Heise:

Es sieht alles danach aus, als ob es sich um eine Variation der TR-069-Lücke handelt, die bereits 2014 von CheckPoint publik gemacht worden war. Zu diesem Zeitpunkt hatten deutsche Provider (darunter auch die Telekom) ihre Netze für sicher erklärt.

Die grundsätzliche Problematik der TR-069/064 Fernwartungs-Schnittstelle war seit mindestens zwei Jahren öffentlich bekannt und betrifft potentiell nicht nur die gestern betroffenen Speedport-Router, sondern alle Arten von Routern.

Der gestrige Ausfall erscheint mir also durchaus T-hausgemacht, und hätte leicht präventiv verhindert werden können, denn:

Internet-Verkehr wurde auf den dafür genutzten Port 7547 an die Router durchgeleitet. Ein legitimer Anwendungsfall dafür mag sich mir nicht erschließen.

Das grundsätzliche Problem war bekannt, und die Gegenmaßnahmen im eigenen Netz waren unzureichend. Wenn Angriffe auf diesem Port seit Jahren bekannt sind, und ein legitimer Zugriff nur aus dem Support-Netz der Telekom stammen dürfte, hätte der Port schon seit Jahren für Zugriffe aus dem Internet gesperrt sein müssen.

Die Aussagen der Telekom-Sprecher verschleiern die eigene Fahrlässigkeit.

Tagesschau

Die Fernwartung (“Easy Support” bei der Telekom) ließ sich lange auf gemieteten Speedports nicht deaktivieren. Das geht laut Dokumentation inzwischen. Update: Ist allerdings vertraglich bei Mietroutern weiterhin untersagt.

Eine wirkungsvoller Workaround wäre vermutlich schon am Sonntag gewesen: Router ohne DSL-Kabel booten, Fernwartung deaktivieren. Aber das hätte nur zusätzlichen Support-Aufwand in der Zukunft verursacht oder weitere Sicherheitsupdates verhindert, weil das Auto-Update nicht mehr angestoßen werden kann. Die Fernwartungs-Schnittstelle stellt ein großes Risiko dar und offener Zugriff darauf aus dem Internet hätte schon seit mindestens zwei Jahren aufgegeben werden sollen.

Details zum Angriff beim ISC