Menü
Avatar von Felix Schwarz
  • Felix Schwarz

mehr als 1000 Beiträge seit 19.01.2001

Spekulation: Angriffe auf TR069 mit shell code injection

the_hell schrieb am 28.11.2016 11:30:

Im Forum zu der ursprünglichen Meldung meinte jemand, die DNS-Auflösung sei betroffen. Das wäre durchaus denkbar, in der letzten zeit sind mehrere Lücken bekannt geworden über die man einen (ungepatchten) DNS-Server remote mit einem Paket zum Absturz bringen kann.

"In letzter Zeit"? In den letzten Monaten nicht.

Meine Theorie: Einige Speedports akzeptieren TR069 Antworten von beliebigen Absendern und filtern die Rückgabewerte für die (NTP?)-Server-IPs nicht richtig, sondern führen ggf. dort shell-Code aus.

Dadurch wird vom Server "l.ocalhost.host" eine statisch gelinkte mips-Binary gezogen. Diese schließt (u.a.???) per iptables den TR069-Port, so dass die Router sich anschließend nicht mehr konfigurieren können (=> Internet usw. gestört).

Wahrscheinlich kann das Binary aber die Konfiguration nicht dauerhaft verändern, daher hilft ein Neustart kurzzeitig, weil dann dann der Router doch wieder (korrekte) Antworten der Telekom-TR069-Server erhält (bzw. Setzen von manuellen DNS-Servern könnte helfen, weil dann der Router die falschen Werte verwirft, falls er schon angegriffen wurde).

Offenbar filtert die Telekom als Notmaßname den Port von außen.

Dass ein Reset des Routers nicht dauerhaft hilft, deutet für mich darauf hin, dass die Angriffe inzwischen von innerhalb des Telekom-Netzes kommen und die Telekom dort so einfach keine Filter konfigurieren kann (das wäre dann die typische "perimeter defence" fallacy) oder sich das Binary doch dauerhaft "festsetzt" (letzteres wäre auch für einen Angreifer "sinnvoll", damit er lange etwas von seinem neuen Bot hat).

Edit: Folgender Exploit scheint dafür genutzt zu werden: https://www.exploit-db.com/exploits/40740/

Das Posting wurde vom Benutzer editiert (28.11.2016 11:58).

Bewerten
- +
Anzeige