Der Ausfall des Telekom-Netzes (DSL, Telefonie, TV) geht wohl auf einen global ausgerichteten Hackerangriff auf DSL-Modems zurück. Zumindest kristallisiert sich das aktuell heraus.
Was bisher war
Im Beitrag DSL und Festnetz bei Telekom gestört? [Update] Hackerangriff? hatte ich Sonntag-Abend über die Großstörung bei der Telekom berichtet. Seit Sonntag, den 28.11.2016, gibt es bei Telekom-Kunden großflächige Ausfälle bei Internet, IPTV und VoIP Internet-Telefonie.
(Quelle: allestörungen.de)
In einem Nachtrag hatte ich die Vermutung der Telekom thematisiert, dass diese Störung mit einem Hackerangriff zusammen hängen könnte. Jetzt lichtet sich der Nebel.
Weltweiter Hackerangriff auf Port 7547 von DSL-Routern
Vom Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde eine Pressemitteilung herausgegeben, die recht allgemein von einem Hackerangriff auf Fernverwaltungsports spricht.
Am 27. und 28. November 2016 sind über 900.000 Kundenanschlüsse der Deutschen Telekom von Internet- und Telefonieausfällen betroffen gewesen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) steht in ständigem Austausch mit der Deutschen Telekom, um diesen Vorfall zu analysieren.
Das BSI ordnet diesen Ausfall einem weltweiten Angriff auf ausgewählte Fernverwaltungsports von DSL-Routern zu. Dieser erfolgte, um die angegriffenen Geräte mit Schadsoftware zu infizieren. Diese Angriffe wurden auch in dem vom BSI geschützten Regierungsnetz registriert, in dem sie aber auf Grund funktionierender Schutzmaßnahmen folgenlos blieben. Das Nationale Cyber-Abwehrzentrum koordiniert derzeit unter Federführung des BSI die Reaktion der Bundesbehörden.
Beim Internet Storm Centre findet sich hier die Information, dass aktuell weltweit DSL-Modems über Port 7547 angegriffen werden. Der Port 7547 ist für das Fernwartungsprotokoll TR-069 in der Regel offen. Sucht man beispielsweise nach dieser Port-Nummer, stößt man auf diesen Telekom-Hilft Nutzerbeitrag, der 2014 auf den offenen Port hinweist und fragt, was er damit machen soll (aber keine Antwort erhielt). Laut dem Internet Storm Centre werden bei einer Suche über die Suchmaschine Shodan ca. 41 Millionen Geräte mit offenem Port 7547 gelistet.
Bei heise.de schreibt man hier, dass die Cyber-Kriminellen weltweit versuchen, eine Schwachstelle im Fernwartungsprotokoll TR-069 auszunutzen, um die Geräte in ein Botnet zu integrieren.
Wie es ausschaut, ist bei den Telekom-DSL-Routern (und anderen Anbietern) das Fernwartungsprotokoll TR-069 aktiviert. Wer sich mit dem Thema auseinander setzen möchte, diese AVM-Seite führt aus, dass die Seite „Anbieter-Dienste“ in der Benutzeroberfläche der FRITZ!Box nur dann vorhanden ist, wenn der Internetanbieter die automatische Einrichtung der FRITZ!Box nach TR-069 unterstützt. Hier hat sich ein Blogger mit dem Thema befasst.
Ich habe auf meiner FRITZ!Box 7390 kurz nachgeschaut. Unter Internet->Zugangsdaten findet sich die Registerkarte Anbieter-Dienste, wo ich die Option ‘Automatische Einrichtung durch den Dienstanbieter zulassen’ deaktiviert habe.
Die Telekom-Störung ist damit quasi ein Kollateralschaden dieses Angriffs. Zwischenzeitlich hat die Telekom durch Installation neuer Software den Port wohl geblockt und bekommt das Problem hoffentlich in den Griff. Weitere Details könnt ihr dem verlinkten heise.de-Beitrag sowie der verlinkten Seite des Internet Storm Centre entnehmen.
Ähnliche Artikel:
DSL und Festnetz bei Telekom gestört? [Update] Hackerangriff?
DSL-Störung bei 1&1?
DSL-Störung: 1&1, Telekom und Bananenrepublik #Neuland
Hilfe, ich hab eine DSL-Störung–was kann man testen–Teil 1
Hilfe, ich hab eine DSL-Störung–was kann man testen–Teil 2
DSL-Störung: Netzteil der FRITZ!Box gestorben
Telefon-Spam 0211-36870409 in FRITZ!Box blocken
Ärger mit der FRITZ!Box 6490 Cable
Sicherheitslücke in AVM-FRITZ!Box-Routern schließen
FRITZ!Box-LAN-Verbindungen liefern nur langsame 100 MBit/s
FRITZ!Box-Anwender sollten VoIP-Kennwort ändern
Sicherheitslücken: Fritz!Box, D-Link-Modems, Cisco-Router
Update: Patches zur AVM FRITZ!Box-Sicherheitslücke
Das Problem liegt wohl speziell in dem Protokoll TR-064 (AVM-PDF-Dokument) und erfolgt dann per TCP-Port 7547 über kompromittierte NTP-Server-Einträge, die dann zum Nachladen per wget bzw. tftp der IoT-Botnetz-‚Mirai‘-Malware über den Host „http://l.ocalhost.host“ benutzt werden.
Bei der Infektion wird der TCP-Port 7547 geschlossen und der Telnet-Dienst gekillt, so dass in diesem Zustand keine Remotesoftwareversorgung per TR-069 mehr möglich ist.
Eine neue aktualisierte Firmware der Speedports W 921V und W 723V (Typ A und B) wurde mit heutigem Zeitstempel bereits aktualisiert durch die Telekom zur Verfügung gestellt.
Interessante Beschreibungen hier
OlliD@IRQ8
Danke für die Ergänzung
Danke für die Info mit der neuen Firmware für W921V.
Interessant finde ich auch die Info mit dem Fernwartungsprotokoll. Diese funktioniert nämlich nicht. Ist mir schon paar mal aufgefallen.
hier kann man testen, ob der Port offen ist: https://www.heise.de/security/dienste/Netzwerkcheck-2114.html
IP6 geht gar nicht, bei der angegebenen Seite für IP4 gibt es ein Problem mit dem Sicherheitszertifikat.
Es betrifft nur Speedport-Router der Telekom keine Fritz!Box im Telekom-Netz.
Grüße sozusagen aus Panama:
Domain Name: OCALHOST.HOST
Domain ID: D39445184-CNIC
WHOIS Server: whois.namecheap.com
Referral URL:
Updated Date: 2016-11-28T15:20:44.0Z
Creation Date: 2016-11-26T08:36:58.0Z
Registry Expiry Date: 2017-11-26T23:59:59.0Z
Sponsoring Registrar: Namecheap
Sponsoring Registrar IANA ID: 1068
Domain Status: serverHold https://icann.org/epp#serverHold
Domain Status: serverTransferProhibited https://icann.org/epp#serverTransferProhibited
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: addPeriod https://icann.org/epp#addPeriod
Registrant ID: C98238422-CNIC
Registrant Name: WhoisGuard Protected
Registrant Organization: WhoisGuard, Inc.
Registrant Street: P.O. Box 0823-03411
Registrant City: Panama
Registrant State/Province: Panama
Registrant Postal Code:
Registrant Country: PA
Registrant Phone: +507.8365503
Registrant Phone Ext:
Registrant Fax: +51.17057182
Registrant Fax Ext:
Registrant Email: 71aa2b1dc4544e4ca4cfa344302e8b2e.protect@whoisguard.com
Admin ID: C98238420-CNIC
Admin Name: WhoisGuard Protected
Admin Organization: WhoisGuard, Inc.
Admin Street: P.O. Box 0823-03411
Admin City: Panama
Admin State/Province: Panama
Admin Postal Code:
Admin Country: PA
Admin Phone: +507.8365503
Admin Phone Ext:
Admin Fax: +51.17057182
Admin Fax Ext:
Admin Email: 71aa2b1dc4544e4ca4cfa344302e8b2e.protect@whoisguard.com
Tech ID: C98238417-CNIC
Tech Name: WhoisGuard Protected
Tech Organization: WhoisGuard, Inc.
Tech Street: P.O. Box 0823-03411
Tech City: Panama
Tech State/Province: Panama
Tech Postal Code:
Tech Country: PA
Tech Phone: +507.8365503
Tech Phone Ext:
Tech Fax: +51.17057182
Tech Fax Ext:
Tech Email: 71aa2b1dc4544e4ca4cfa344302e8b2e.protect@whoisguard.com
Name Server: DNS1.REGISTRAR-SERVERS.COM
Name Server: DNS2.REGISTRAR-SERVERS.COM
DNSSEC: unsigned
Es sind explizit nur Telekom eigene Boxen betroffen, keine Fritz!Box!
Bei der Fritz!Box ist die Fernwartung-Funktion an einem Telekom-Anschluss nicht aktiviert, es erscheint auch nicht die Seite „Anbieter-Dienste“, da die Fernwartung für die Fritz!Box von der Telekom nicht unterstützt wird.
Die angegebenen Seiten von AVM sind in diesen Fall wohl für das Problem nicht ganz so relevant, weil das Telekom-Netz und deren Router betroffen sind.
Wenn dann irgendwann andere Provider betroffen sind ist die Fritz!Box ja vielleicht! dabei! wenn sie von dem jeweiligen Anbieter kommt!
Die „Fritz-en“ war doch erst dran, war doch hier auch im Blog.
Es ist schon interessant, wie dann auf der anderen Seite des Teiches geschrieben wird. Bei BleepingComputers gibt es das:
http://www.bleepingcomputer.com/news/security/900-000-routers-knocked-offline-in-germany-amid-rumors-of-cyber-attack/
Die Links sind zwar gut und auch der Link zur Firmware. Aber 2 Tage und die Karte und „über 900.000“ ist schon lustig. Aber irgendwie muss ja auch ein Nichtbetroffener auf der anderen Seite des Teiches nach dem Aufstehen seine Infos bekommen. Fazit – Die Erde dreht sich doch und bewegt sich um die Sonne und manche schlafen und werden dann wach.
Die Karte ist ja zum „totlachen“, die 900000 stimmen wohl.
Laut der Karte haben wir ja dann schlappe 2Millionen Einwohner?
Ansonsten glauben die Amis sowieso jeden S…………
na ja die 900.000 stammen aus der Mitteilung von Telekom von 9 Uhr MEZ bzw. 10 Uhr MEZ für den 28.11.2016. Gestern abend gegen 17 – 18 Uhr MEZ waren es wohl weit darüber. Denn ich war ja um 9 Uhr nicht mehr dabei.
Heute erst hat unsere Bundesraute angekündigt, den BND weiter zu stärken.
*aluhut-aufsetz*
Wetten, in den kommenden 48 Stunden wird sich herausstellen, dass es russische Hacker waren. Mit diesem Hack gewinnt unser unförmiger Hosenanzug dann gleich doppelt. Denn derzeit ist die Stimmung _gegen_ oder _für_ Russland in der Bevölkerung noch recht ausgeglichen. Da reicht es dann, wenn dem gemeinen deutschen Fußvolk das Internet weggenommen wird und ihm das Feindbild ‚Täter = Russland‘ präsentiert wird. Damit hat man mehr Zuspruch für weitere (Nato-)Sanktionen gegen Putinland und gleichzeitig lässt man immer mehr Kritiker verstummen, die sich zuvor gegen die Ausweitung der BND-Rechte ausgesprochen hatten…
*aluhut-abnehm*
Ich glaub eher nicht das die Russen damit zu tun haben.
Wenn das Internet nicht geht kriegen sie ja keine Daten mehr (zB. über „Kaspersky“).
Es hängt ja wohl mehr mit dem „Fernwartungsprotokoll TR-069“ zusammen das diese Verbrecher ausnutzen um andere als das gemeine Volk zu schädigen und dann zu erpressen.
Dieses Fernwartungszeugs braucht man doch nicht wirklich, wenn das automatische Update eigeschaltet ist und auch funktioniert müsste doch alles gut sein.
Die Zugangsdaten werden doch jetzt beim Neuanschluss immer dabei sein, oder man kann sie anfordern. (das eingeben dieser Daten von Hand dauert eben etwas länger)
Hier nochmal die Hilfeseite der Telekom für die Router der Telekom die betroffen sind:
https://www.telekom.de/hilfe/hilfe-bei-stoerungen/anschluss-ausfall
Da stehen etwas weiter unten die betroffenen Router (Speedport W 921V, Speedport W 723V Typ B, Speedport W 921 Fiber) und es wird erklärt wie man vorgehen kann (soll).
In dem Video sagt der Telekom-Mensch, dass der Router sich die neue Firmware automatisch lädt und installiert nach Stromnetztrennung. Das stimmt nicht, zumindest bei mir.
Dann gesagt, dass mit der Einstellung Easy-Support der Router die Firmware immer automatisch installiert, wenn eine neue verfügbar ist. Auch das stimmt nicht. Ich muss immer alles händisch machen.
Gestern, spät abends, hat es bei mir mit der emfohlenen Netztrennung auch nicht geklappt.
Heute morgen allerdings hat’s dann doch gefunzt:-)
Eine Rückmeldung:
Nicht, dass ich Ihnen etwa schmeicheln möchte, Herr Born aber mein Eindruck ist, dass die Qualität des Blogs, ohnehin auf hohem Niveau befindlich, in letzter Zeit kontinuierlich weiter angestiegen ist.
Aus diesem Grunde halte ich mich hier auch immer öfter immer länger immer lieber auf.
Und nicht nur am Maiday, pardon, Patchday;-)
Beste Grüsse:-)
Was heisst denn „global ausgerichteten Hackerangriff auf DSL-Modems„?
Welcher Provider, der ebenfalls DSL-Modems nutzt, auch ausserhalb Deutschlands, ist denn noch betroffen?
Hmmm…
Filmtips der Woche:
https://www.amazon.de/Terminator/s?ie=UTF8&page=1&rh=i%3Aaps%2Ck%3ATerminator
:D
Thema verfehlt, setzen Sechs! :-(
Och Menno…
wobei ich finde, das gewissermaßen doch schon was dran ist, wenn der Monopolist des Landes die Hosen herunter gezogen bekommt, nachdem im Netz grade erst der größte Angriff beendet wurde…
Vom Thema her ist unsere Netztechnik doch tatsächlich arg anfällig, wenn man die letzten Wochen mal verfolgt hat und mittendrin der bejubelte Anfang vom IoT.
Auch ferngewartete Router gehören in diese Schublade.
Von der Cloud zum Skynet erscheint da irgendwie nur ein kleiner Schritt zu sein… Selbst wenn die Terminatoren in der Realität nur menschliche Hacker sind.
der Hersteller der betroffenen Router ist „Arcadyan“. Der Hersteller der betroffenen Geräte ist immer der gleiche. Der Sitz ist in Hsinchu in Taiwan.
Sagt ihnen nichts dann können sie bei Wikipedia nachsehen: https://de.wikipedia.org/wiki/Arcadyan
Hier ein paar Einzelheiten über die Router der Telekom: https://de.wikipedia.org/wiki/Speedport
Also, alle die meckern wie die Rohrspatz auf Telekom und deren Router, hier ein interessanter Beitrag auf heise.de, in dem dann auch heise.de von seiner Kritik etwas zurücknehmen muss. Kern der Aussage – Die Router sind gar nicht anfällig gewesen, sondern haben aufgrund der Attacke einfach ihren Dienst verweigert. Am Besten alles hier nachlesen und weiter recherchieren:
https://www.heise.de/security/meldung/Grossstoerung-bei-der-Telekom-Was-wirklich-geschah-3520212.html
Grüße
Neues von Telekom – Störung – – IP-Telefonie geht nicht.
Seit ca 11 Uhr geht IP-Telefonie nicht. Das was geht ist ISDN-Telefonie. Alle die betroffen sind somit alte Prozedur:
# Stromnetzstecker vom Router ziehen
# etwas warten
# Stromnetzstecker wieder hinein
# Alles baut sich wieder auf innerhalb von bis zu ca. 2 Minuten
# Danach geht alles wieder bis auf IP Telefonie mit der Einschränkung, dass man nicht wählen kann, jedoch eingehende Telefonate ankommen
# Hat man zusätzlich ein ISDN-Telefon angeschlossen, so kann man über diesen telefonieren.
# Wird dann die Verbindung beim Telefonat (egal ab angenommen IP-Telefon, oder gewählt über ISDN-Telefon) wieder beendet, so gleiche Prozedur mit Router und man kann wieder telefonieren.
Zur Info, seit gestern 12 Dec 2016 09:06:11 GMT gibt es ein weiteres Update 1.42.000 für den Speedport W 921V, das zugehörige Changelog fehlt noch auf der Downloadseite.
Ich habe das heute Vormittag per Zufall mitbekommen. jedenfalls muss man (zumindest bei mir) das händisch machen. Gegenwärtig gibt es nur neue Firmware für diesen Speedport-Modell. Andere kommen ggf noch in diesen Tage.
@ Webmasta, hallo – Habe das auch in dem anderen Blogbeitrag hier eingestellt und dann auch mitgeteilt, dass das IP-Telefon danach nicht mehr ging. Da half dann nur wieder Netzstecker raus, warten, Netzstecker rein. Bei reines ISDN-Telefon war der Fehler nicht. Hinzuweisen ist darauf, dass mein IP-Telefon bei „verpasste Anrufe“ die falschen Daten anzeigt. Ich muss wohl das ganze Telefon wohl komplett zurücksetzen.