Avatar von h1618
  • h1618

275 Beiträge seit 09.06.2000

Misfortune Cookie neuaufgelegt?

Nachdem ich mal so ein wenig quer gelesen habe, kristallisiert sich ein ziemlich klares Bild heraus. Kurz zur Einführung für die, die das noch nicht so kennen:

Um Router automatisch konfigurieren zu können, verwenden viele Provider das im Technical Report 069 2004 festgelegte Protokoll TR-069, das festlegt, wie ein Auto-Configuration Server (ACS) des Providers die Zugangsdaten und Dienste im Router des Kunden (Customer Premises Equipment, CPE) festlegen kann. Üblicherweise geht da die Kommunikation vom CPE aus, das beim Hochfahren den ACS kontaktiert und die Zugangsdaten anfragt. Nun sieht TR-069 aber auch einen umgekehrten Weg vor: der ACS darf das CPE um eine Verbindungsaufnahme bitten, natürlich erst, nachdem dieses konfiguriert wurde, und dafür schlägt das Protokoll den registrierten TCP-Port 7547 vor. Das hat dazu geführt, dass hinter Port 80 der Port 7547 der am häufigsten offene Port im Internet ist. Um auf diesem Port ansprechbar zu sein, läuft auf den Routern/CPE ein zweiter Webserver, der nur dafür und nicht für das Konfigurationsinterface zuständig ist, und oft ist das eine Uralt-Version (4.07 aus 2002) des Programms Rompager.

2014 wurde gezeigt, dass diese Rompager-Version eine gravierende Sicherheitslücke, hat, über die auf die Router zugegriffen werden kann, die den Namen Misfortune Cookie bekam, da durch ein übergroßes Cookie ein Pufferüberlauf provoziert werden konnte.

Bei der gegenwärtigen Telekom-Misere wurde berichtet:
1. Seit 3 Tagen Portscans auf Port 7547 im Telekom-Netz
2. bei offenem Port 7547 kommt eine HTTP-Anfrage, die ein MIPS-ELF-Binary herunterladen will
3. die Telekom versucht offenbar selber über TR-069, eine Patch anzuwenden, der über einen Shell-Befehl den Port 7547 und nur diesen in der Firewall blockt.

Riecht mir danach, dass wohl ein koordinierter Angriff auf Telekom-Router - nur Speedport/Entry - stattfindet (Fritzboxen haben keinen Rompager), der wohl deren DNS umbiegen soll, aber das funktioniert offensichtlich nicht ganz so wie gedacht, deshalb die Ausfälle. Neustart beseitigt wieder das MIPS-Binary, und alles geht bis zu einer Neuinfektion, bzw. wenn die Telekom zuerst draufkommt und den Port zumacht, sollte Ruhe sein.

Zeigt mal wieder, wenn man schon TR-069 verwendet, sollte man wenigstens die Möglichkeit eines Connection Requests durch den ACS unterbinden - so verlockend das für Provider ist - aber dann kann sich auch die ganze Welt daran austoben.

Bewerten
- +
Anzeige

heise online Themen