Vor einigen Tagen hat es das Internet ein weiteres Mal in die Presse und das Fernsehen geschafft – wie üblich im Rahmen von negativen Schlagzeilen. Hunderttausende Endkunden konnten weder Internet, Telefon noch Fernsehen über ihren Entertain-Anschluss der Deutschen Telekom nutzen. Entgegen erstem „Fingerpointing“ war jedoch nicht die Telekom selbst Schuld an Störungen beim Zugriff auf das weltweite Netz, sondern „nur“ die von der Telekom in großer Zahl eingesetzten Endgeräte aus der „Speedport“ Modellreihe.
Was war passiert? Nach aktuellen Informationen scheint es so, als wäre in einer groß angelegten Aktion ein globaler Angriff auf Geräte durchgeführt worden, welche für eine Fernkonfiguration und –administration ausgelegt sind. Viele Hersteller unterstützen hierfür das sogenannte „TR069“ Protokoll. Dieses ermöglicht es, eine große Anzahl von Geräten von Providerseite zu verwalten – angefangen von der Einwahl bis hin zu Konfigurationsdetails wie WLAN-Funktionen. Dabei wird das Protokoll Hersteller-übergreifend genutzt. Insbesondere Consumer-Geräte wie eben die Speedport-Modelle, aber auch andere weit verbreitete Reihen wie FritzBox, werden hierüber durch Provider administriert.
Zugriff durch Softwarefehler
Doch während die Vorteile einer solchen Fernverwaltung für den Provider auf der Hand liegen, ergibt sich in verschiedenen Situationen ein Risiko hieraus. Da wäre zum einen schon das „Übliche“ zu nennen – nämlich Programmierfehler in der Software. Sie ermöglichen unter Umständen, dass mittels spezieller Pakete Rechte-Eskalation oder (in weniger schlimmen Fällen) einfach nur ein Absturz der Software verursacht wird. Und während letzteres zwar vorübergehend ärgerlich ist, stellt der erste Fall das größere Problem dar. Denn hiermit kann ein Gerät dauerhaft, und teils auch unbemerkt für den Eigentümer, zu kriminellen Zwecken eingesetzt werden. Möglicherweise kann ein betroffenes Gerät so auch komplett außer Betrieb gesetzt werden – ohne dass Abhilfe durch einen Neustart möglich ist.
Im Fall der aktuellen Angriffswelle scheint nun genau ein solcher Softwarefehler im Rahmen der Angriffe aufgetreten zu sein, wodurch es zu Problemen mit der Einwahl bei den betroffenen Geräten kam. Da diese Auswirkung aber für Angriffe in einem solchen Umfang nicht wirklich sinnhaft ist, stellt sich die Frage, ob nicht die Übernahme mancher Geräte das eigentliche Ziel war – und bei wie vielen Geräten dieses Vorhaben dann auch letztendlich erfolgreich war, ohne dass es bemerkt wurde.
Gegenmaßnahmen? Fehlanzeige.
Letztlich stellt sich aber die Frage, was gegen solche Attacken unternommen werden kann. Auf Seiten des Endnutzers gibt es kaum Möglichkeiten – weder kann man selber die Fehler in den Consumer-Endgeräten einschätzen oder gar beheben, noch lässt sich die Fernkonfiguration überhaupt deaktivieren, sofern man überhaupt administrativen Zugriff auf das Gerät hat. Gerade bei vom Provider bereitgestellten und administrierten Geräten liegt die Verantwortung fraglos bei diesen Anbietern. Gerade eine Funktion wie die Fernadministration sollte entweder auf dem Endgerät oder im Netz des Anbieters soweit abgesichert sein, dass externe Zugriffe aus Bereichen außerhalb der Netzverwaltung nicht möglich sind. Letztlich verhindert auch diese Maßnahme aber lediglich einen Angriff über genau dieses „Einfallstor“ – das geht so lange gut, bis Angreifer die nächste Lücke an anderen Stellen des Systems entdeckt haben. Im aktuellen Fall stehen mittlerweile immerhin Updates für die betroffenen Geräte zur Verfügung, die man – sofern man über einen funktionierenden Netzzugang verfügt – herunterladen und installieren kann.
Ihre Fragen im Bereich IT-Sicherheit beantworten wir auch gerne persönlich. Nehmen Sie Kontakt mit uns auf!