“Mythos” Speedport-Hack

Die Telekom hat eine eigene Darstellung des Ausfalls veröffentlicht:

Mythos offene Schnittstelle: Was wirklich geschah

Kein Mythos. Der Port war offen. Wäre er nicht offen gewesen, wäre nichts passiert.

Der ACS hat das Endgerät dazu aufgefordert, sich bei ihm zu melden. Diese „Anklopffunktion“ wird im TR-069 Standard als sogenannter „Connection Request“ beschrieben.
Damit der Connection Request funktionieren kann, muss das Endgerät für den ACS über das Internet erreichbar sein. Laut Standard ist hierfür der Port 7547/tcp vorgesehen, der auch von allen Speedport Routern dazu genutzt wird. Das Auslösen des Connection Requests erfolgt über das HTTP Protokoll. Bei den Speedport Routern ist dieser Mechanismus durch verschiedene Sicherheitsfunktionen gegen Missbrauch geschützt. Beispielsweise muss der ACS sich gegenüber dem Endgerät mittels eines geräteindividuellen Passworts authentifizieren.

Das Endgerät muss nicht aus dem Internet erreichbar sein, es muss für den ACS der Telekom und für sonst niemanden erreichbar sein. Wie diese Einschränkung umgesetzt wird, sei dahingestellt. Sollten sich die Provider wirklich nicht von der “Fernwartung” trennen können, scheint ein Wartungs-VLAN eine denkbare Lösung zu sein, das den Port aus dem Internet nicht erreichbar macht.

Nochmals: Das Auslösen eines Connection Requests bewirkt, dass das Endgerät eine sichere Verbindung zum vorkonfigurierten ACS der Deutschen Telekom aufbaut. Der Connection Request ermöglicht grundsätzlich keinen Zugriff auf das Datenmodell des Endgerätes.

Nochmals: Plastikrouter ohne nennenswerte Sicherheitsupdates mit offenen Ports ins Internet zu stellen, ist eine schlechte Idee.

Die aktuellen Angriffe betreffen jedoch nicht den ACS, sondern den Endpunkt für den Connection Request auf dem Endgerät, der über Port 7547/tcp erreicht werden kann. Die hierbei verwendete Angriffsmethodik ist neu und war bis dato nicht bekannt. Nach aktueller Sachlage basiert diese auf einer Veröffentlichung im Internet von Anfang November 2016.

Das grundsätzliche Problem ist die schlecht abgesicherte Software auf Kundenseite. Ein konkreter Angriff muss nicht bekannt sein, um festzustellen, dass die eigene Hardware betroffen sein könnte.

Heise dazu im Jahr 2014:

Ein weiteres Problem sei die Qualität der ausufernden Spezifikation von TR-069. Sie sieht zwar beispielsweise eine per SSL/TLS gesicherte Verbindung zwischen ACS und Endgeräten vor – aber fahrlässigerweise nur als Empfehlung.

Der Forscher untersuchte auch einige hundert URLs, die ISPs zur Kommunikation zwischen Endgerät und ACS verwenden. Ergebnis: 81 Prozent aller Verbindungen finden ungesichert per HTTP statt. “Damit genügt im Prinzip ein einzelnes, korrekt zusammengesetztes Paket, um einen Update mit manipulierter Firmware auszulösen”, so Tal.

Aber selbst wenn TLS zum Einsatz kommt, gibt es Probleme: Ein von Tal untersuchtes DSL-Modem habe beliebige, selbstsignierte TLS-Zertifikate akzeptiert. Damit sei eine Man-in-the-Middle-Attacke möglich, bei der sich der Angreifer als ACS ausgibt. Problematisch sei auch, dass viele ISPs die TR-069 betreffenden Einstellungen in den Routern verstecken und sachverständigen Kunden somit keine Chance lassen, die Konfiguration selbst zu prüfen oder zu ändern.

Ich halte TR-069 für eine grundsätzlich sehr schlechte Idee, die aus dem CPE-Denken der Provider herrührt, die Box auf Kundenseite sei Teil des Providernetzes.

Wieder die Telekom:

Der aktuelle großflächige Angriff war nicht spezifisch für die Speedport Router der Deutschen Telekom ausgelegt, d.h. er nutzt keine Schwachstelle in den Speedport Routern der Deutschen Telekom aus. Nach aktuellem Kenntnisstand sind keine Speedport Router von der im Internet publizierten Problematik betroffen, d.h. es ist nicht möglich, mit dieser Methodik eine Schadsoftware auf einem Speedport Router zur Ausführung zu bringen.

“From the department of not-my-problem” ist hier eine schlechte Ausrede. Der nächste Angriff funktioniert vielleicht, und dann ist eben nicht eine Million Router abgestürzt, sondern beteiligt sich mit permanent gehackter Firmware an einem DDOS. Was dann? Millionen Geräte tauschen, Anschlüsse sperren, Brennpunkt in der ARD.

Heise:

Versäumnis der Telekom
Fehler kann man der Telekom natürlich trotzdem vorwerfen: Der Fernwartungs-Port TR-069 hätte nicht offen aus dem Internet erreichbar sein dürfen. Auch wenn die Router für die aktuellen Angriffe nicht anfällig waren, kann man gerade bei einem solchen selbstgestrickten Betriebssystem mit proprietärer TR-069-Implentierung getrost davon ausgehen, dass es andere Sicherheitslücken aufweist, die sich missbrauchen lassen. Weinmann deutet auch bereits an, weitere Fehler gefunden und der Telekom gemeldet zu haben.

Kommentar von Nico Ernst bei Heise, dem ich mich anschließen kann:

Die Fernwartung von Routern über die TR-Protokolle darf als gescheitert angesehen werden. Kriminelle haben die millionenfach vorhandenen Plastikkästchen als Angriffsziel entdeckt, die Attacken galten nicht allein manchen Speedport-Modellen der Telekom. Vielmehr handelt es sich um einen Schrotschuss auf alles, was über den Port 7547 per Internet erreichbar ist.

Man darf wohl davon ausgehen, dass diese und die zahlreichen weiteren Lücken in den TR-Protokollen der Telekom bekannt waren. Sonst wäre kaum eine so schnelle Anhilfe durch neue Firmware möglich gewesen. Schon weniger als 24 Stunden nach Bekanntwerden der Angriffe verteilte die Telekom die neuen Versionen

Netzpolitik.org:

Was hat die Telekom falsch gemacht?

Der TR-069-Port hätte über das Internet nicht von arbiträren IP-Adressen erreichbar sein dürfen – dafür gibt es ACLs, Firewalls und getrennte Management-Netze. Darauf wurde die Telekom schon 2014 von ihren eigenen Kunden aufmerksam gemacht.

Ergebnis [ist] der Ausfall von fast einer Million Internet-Anschlüsse ist, der nicht verharmlost werden sollte: Er konnte sogar ohne Absicht des Angreifers ausgelöst werden.

Der nächste Angriff auf die 18 Millionen DSL-Anschlüsse in Deutschland ist vielleicht ernstgemeint. Per Pressemitteilung die eigene Verantwortung abzuwälzen, hinterlässt schlechte Gefühle.

Wenigstens der Telekom-Chef hat wohl das Memo gelesen, bevor es durch die PR-Abteilung ging und sagt: