Fernwartung Sicherheitslücke entblößt Millionen DSL-Router

Ein Sicherheitsexperte warnt vor Angriffen auf die Server, die Software-Updates an DSL-Router verteilen. Über Schwachstellen könnten Millionen Geräte gekapert werden. Deutsche Provider geben Entwarnung.

Von

Internetrouter (Symbolbild): Hacker warnt vor Sicherheitslücken bei der Fernwartung
AP

Internetrouter (Symbolbild): Hacker warnt vor Sicherheitslücken bei der Fernwartung


Eigentlich ist die Fernwartungs-Software dafür gedacht, dass Internetprovider den Kunden aus der Ferne bei Problemen helfen. Doch der Sicherheitsexperte Shahar Tal hat herausgefunden, dass manche Netzanbieter eine Software mit Schwachstellen verwenden, die den Kunden große Probleme bereiten kann. Auf der Hackerkonferenz Defcon warnte Tal vor schweren Software-Sicherheitslücken, die Millionen von DSL-Routern entblößt, wie "Heise Online" berichtet.

Das betroffene Protokoll nennt sich Technical Report 069 (TR-069) und wird weltweit für die Fernwartung eingesetzt. Dem Bericht zufolge waren im Jahr 2011 weltweit etwa 150 Millionen Router für das Protokoll ausgelegt, über das die Server von Netzprovidern mit DSL-Routern der Kunden kommunizieren. Mitarbeiter können über diesen Kanal Updates aufspielen und die Router aus der Distanz einstellen. Doch Schwachstellen in der Server-Software können eine Hintertür öffnen und es ungebetenen Gästen ermöglichen, Schadsoftware auf den DSL-Geräten zu installieren.

Bei einer Stichprobe im Nahen Osten entdeckte der israelische Computerspezialist die marode Software auf dem Server eines Telefonanbieters und hatte somit Zugriff auf mehr als eine halbe Million DSL-Modems. Den Fehler hatte Shahar Tal in zwei gängigen Programmen für sogenannte Auto Configuration Server (ACS) aufgespürt. Über die Schwachstelle können Angreifer demnach beliebigen Programmcode einschleusen und die Kontrolle über den Server übernehmen.

Fernwartung lässt sich bei vielen Routern abschalten

Deutschen Internetanbieter haben auf Anfrage von SPIEGEL ONLINE ihre Fernwartungs-Server überprüft. Die Deutsche Telekom verweist auf die eigenen Sicherheitsstandards und ist nach eigenen Angaben "von der beschriebenen Sicherheitslücke nicht betroffen". Bei Kabel Deutschland kontrollieren derzeit die Mitarbeiter noch, ob die eigenen Server gefährdet sind. Man gehe jedoch davon aus, "dass wir nicht betroffen sind", sagt ein Sprecher des Unternehmens. Man setze auf eine kommerzielle Lösung und nicht auf die genannte Open-Source-Software.

Auch die Mitarbeiter bei 1&1 haben keine Schwachstelle auf den eigenen Fernwartungsservern entdeckt. "Wir haben die genannten Punkte geprüft und können dies für unsere ACS und für die von uns betriebene Hardware ausschließen", sagte ein Sprecher gegenüber SPIEGEL ONLINE. Die DSL-Anbieter Unity Media und Kabel BW setzen auf ihren Servern eine kommerzielle Software ein, die nach eigenen Angaben keine bekannten Schwachstellen aufweist. Sollte ein Fehler entdeckt werden, werde umgehend ein Update aufgespielt. Auch Vodafone gibt Entwarnung. "Die von Vodafone-Kunden genutzten Easy-Boxen sind nach aktuellem Kenntnisstand nicht betroffen", heißt es bei dem Unternehmen. Die verwendete ACS-Software sei zudem keine Open-Source-Lösung.

Um sich generell zu schützen, empfiehlt Shahar Tal den Anwendern, wenn möglich, das Protokoll TR-069 zu deaktivieren. Bei vielen DSL-Routern im freien Handel lässt sich die Fernwartungsfunktion abschalten. Werden die Router hingegen von einem Provider mit einem Branding versehen, dann lässt sich das Protokoll in den meisten Fällen nicht deaktivieren. Die in Deutschland weit verbreitete Fritzbox von AVM beispielsweise ist für das betroffene Fernwartungsprotokoll ausgelegt.

Dann hilft nur noch eine neue Firmware, mit der sich der Fernzugriff deaktivieren lässt. Oder man schaltet einen DSL-Router vor das Gerät, bei dem sich die Funktion abschalten lässt. Das wiederum kann jedoch die Funktion des Geräts einschränken.

Anmerkung der Redaktion: Nach Veröffentlichung dieses Textes haben wir noch weitere Informationen zum Thema von einigen Anbietern erhalten. Diese haben wir nun eingefügt.

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 9 Beiträge
Alle Kommentare öffnen
Seite 1
jkrose 15.08.2014
1. Schlimm
wenn man so einen oberflächlichen Artikel lesen muss. Gerade bei der FritzBox kann man einen wirklich 'zugenagelten' Zustand selbst mit wenigen Klicks herstellen. Der 1&1-Router ist eine FritzBox und die kann man mit einem von AVM zur Verfügung gestellten Tool vollständig zurücksetzen und dann nach eigenen Sicherheitsbedürfnissen einstellen, völlig unabhängig vom ursprünglichen 1&1-Branding. Allerdings hat AVM die Funktion zum Abschalten des Auslesens der Box versteckt ausserhalb der normalen Einstellungsoberfläche angebracht und sich standardmässig das Auslesen gestattet. Ich finde das trotz zugesagter Anonymisierung der Daten wenig aufrichtig von AVM.
nightshadow23 15.08.2014
2.
"Die in Deutschland weit verbreitete Fritzbox von AVM beispielsweise ist für das betroffene Fernwartungsprotokoll ausgelegt" Nein.Ist sie nicht.
whocaresbutyou 16.08.2014
3. so langsam reicht`s jetzt aber mal...
würde jemand den Server... könnte der Angreifer... dadurch würde eine Tür ... die eventuell... dann könnte... Holt eure erwachsenen Redakteure aus den Sommerferien und schreibt mal wieder irgendwas mit Hand und Fuß, statt das letzte tote Pferd aus dem NSA-Stall zum x-ten Mal über die Ziellinie zu treiben... Der Fernwartungsport von Routern und Telefonanlagen ist doch nun wirklich ein uralter Hut...
epic_fail 16.08.2014
4.
Zitat von whocaresbutyouwürde jemand den Server... könnte der Angreifer... dadurch würde eine Tür ... die eventuell... dann könnte... Holt eure erwachsenen Redakteure aus den Sommerferien und schreibt mal wieder irgendwas mit Hand und Fuß, statt das letzte tote Pferd aus dem NSA-Stall zum x-ten Mal über die Ziellinie zu treiben... Der Fernwartungsport von Routern und Telefonanlagen ist doch nun wirklich ein uralter Hut...
Er ist auch elementarer Bestandteil für die Leute, die solche Geräte zu Hauf administrieren müssen. Das ist leider das Problem und hat nichts mit "alter Hut" zu tun. Ich jedenfalls fahre ungern für eine 5-Minuten Sache 70 Minuten Bahn. Da stimmt die Relation dann einfach nicht. Das Problem ist auch nicht der Port, sondern der Mensch. Diese Seuchen namens Regierung und Militär müssen wir in den Griff bekommen. Das ist doch der springende Punkt!
goodspirit 16.08.2014
5. Hallo Herr Lehrer,
ich weiß was, auf dem Klo brennt noch Licht, ich hab's aber schon ausgemacht.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.