Motivation der Täter
Angriffe auf Schwachstellen von Routern sind für Angreifer äußerst lukrativ. Gelingt es Angreifern, wie im vorliegenden Fall, Sicherheitslücken in einem Wartungsprotokoll auszunutzen, sind die Täter in der Lage, das gesamte Gerät zu manipulieren. Hierzu zählen zum Beispiel die DNS-Einstellungen, durch die es möglich ist, den gesamten Datenverkehr über einen Server zu leiten, der unter der Kontrolle des Angreifers steht. Dies wiederum ermöglicht es, persönliche Daten in großem Stil zu stehlen, wie Zugangsinformationen für Firmennetzwerke, Login-Daten für soziale Netzwerke, Onlineshops oder Emailkonten. Auch der Diebstahl von Kreditkartendaten wird damit möglich.
Grundsätzlich sind Angriffe gegen bestimmte Routermodelle aber nichts Neues: Unternehmen wurden bereits Opfer von Angriffen auf deren VoIP-Anlagen. Gleiches ist auch bei Privatanwendern möglich. Bereits 2014 gab es einen Angriff auf die Router von Heimanwendern, der dazu führte, dass ohne Wissen und Zutun des Inhabers Premium-Telefonnummern gewählt wurden, die hohe Kosten für den Anschlussinhaber zur Folge hatten.
Was ist passiert und wer ist betroffen?
Angreifer haben versucht, bestimmte Routermodelle durch das Ausnutzen einer Schwachstelle in einem Wartungsprotokoll zu übernehmen. Die angegriffenen Router sollten Teil eines Botnetzes werden. Hierzu wurden über das Wartungsprotokoll, das unter Anderem von Internetprovidern zur Fernkonfiguration verwendet wird, einige Einstellungen des Routers geändert. In der Folge versuchen dann die Router, von einer bestimmten Internetadresse eine Datei herunterzuladen. Diese hält eine Installationsdatei bereit, die auf dem Router selbst installiert werden sollte. Die Installationsdatei selbst ist speziell auf die Hardware der betroffenen Geräte und deren Prozessorarchitektur zugeschnitten.
Von dem Angriff sind in erster Linie Kunden betroffen, die einen Speedport-Router des Herstellers Arcadyan verwenden. Diese werden in Deutschland durch T-Online an Kunden vertrieben. Derzeit ist nicht bekannt, dass andere Routermodelle betroffen sind. Laut Telekom sind keine Kundendaten abhanden gekommen.
Warum wurden die Router angegriffen?
Im Zuge des Angriffs wurde versucht, eine Software auf den Routern zu installieren, die diesen zu einem Teil des Mirai-Botnetzes macht. Dieses Botnetz hat erst kürzlich unter Anderem mit Hilfe manipulierter Webcams einen solchen Angriff durchgeführt.
Ein Botnetz kann theoretisch für viele Zwecke missbraucht werden, von der Durchführung von Überlast- (DDoS-)angriffen auf Infrastruktur bis hin zum Bitcoin-Mining.
Wie kann man sich schützen?
Ein Softwareupdate für betroffene Router wurde bereits von der Telekom veröffentlicht. Diese Updates werden bei der Einwahl des Routers in das Netz des Providers automatisch installiert. Das Update sorgt dafür, dass der Port, über den die Fernkonfiguration erfolgt (Port 7547), nicht mehr geöffnet ist und auf eingehende Verbindungen wartet. Die Installation des Updates kann erzwungen werden, indem man den Router für 30 Sekunden vom Stromnetz trennt und dann wieder verbindet.
Um sicher zu stellen, dass der eigene Router vor fremden Zugriffen besser geschützt ist, sollten Standardpasswörter immer geändert werden. Wird die Aktualisierung der Firmware, die das Gerät steuert, nicht automatisch durchgeführt, muss der Benutzer aktiv werden. Die entsprechende Installationsdatei kann in der Regeln von der Webseite des Herstellers heruntergeladen werden.
Update
Nach weiteren Analysen internationaler Sicherheitsforscher (unter Anderem von Comsecuris) sind die Ausfälle auf eine Denial of Service-Schwachstelle in den betroffenen Geräten zurückzuführen. Die Schwachstelle wurde durch permanente Anfragen aus dem oben erwähnten Mirai-Botnetz angesprochen, das auf Port 7547 nach verwundbaren Geräten sucht. Dieser Port wird von Internetanbietern genutzt, um Geräte wie zum Beispiel Router aus der Ferne zu konfigurieren. Von Mirai betroffene Geräte versuchen auf diesem Wege eine Schwachstelle in einem Teil des Konfigurationsprotokolls auszunutzen, mit dem einige Parameter auf einem Router eingestellt werden können. Die seit längerem bekannte Sicherheitslücke erlaubt das Ausführen von Programmcode. Weist ein Gerät eine Schwachstelle in der Firmware auf, wird das betreffende Gerät durch die Installation der heruntergeladenen Datei zum Bot-Client. Die Speedport-Geräte nutzen jedoch sehr wahrscheinlich eine Firmware mit einem Betriebssystem, das keine Nachinstallation von Softwarepaketen erlaubt, jedoch andere Schwachstellen aufweist.
Zu weiteren Details gibt es derzeit nur wenig Informationen, allerdings deutet einiges darauf hin, dass die Ausfälle durch den Angreifer nicht beabsichtigt waren. Wer auch immer hinter diesem Angriff steckt, hat einen elementaren Fehler begangen, der dazu führte, dass die betroffenen Geräte massenhaft abgefragt wurden. Diese massenhafte Abfrage hatte zur Folge, dass die Speedport-Geräte an einem bestimmten Punkt nicht mehr reagierten und Kunden daraufhin keine Internetverbindung mehr hatten.
Das eigentliche Ziel war also das Auskundschaften und Infizieren verwundbarer Geräte. Das schlussendliche Resultat war allerdings nicht die erfolgreiche Ausnutzung der Sicherheitslücke im Wartungsprotokoll, sondern ein ungewollter Überlastangriff auf die betroffenen Geräte.
Die empfohlenen Maßnahmen zur Problemlösung bleiben hiervon unberührt. Auch unsere Empfehlungen wie das Ändern von Standardpasswörtern bleiben bestehen. Der Internetanbieter hat hier schnell reagiert und dafür gesorgt, dass die Sicherheitslücke nicht mehr ausgenutzt werden kann. Nach dem Update der Firmware ist der Wartungsport nicht mehr erreichbar und die Sicherheitslücke damit für Angreifer nicht mehr nutzbar.
Hätte der Angriff mehr Erfolg gehabt, wären die Folgen weit gravierender gewesen. Insofern ist man hier noch einmal mit dem sprichwörtlichen "blauen Auge" davongekommen.