SOAP Angriff auf 7547: So langsam kommt mehr Licht ins Dunkel

coding-kl Die Telekom hat den Angriff zwischenzeitlich im Griff. Aber es stellte sich heraus das die Telekom, besser gesagt ihr Netz, nicht einmal Angriffsziel waren. Die Telekom Router gerieten eher zufällig da hinein. 

Den Angriff auf Port 7547 ist nach wie vor ongoing. Wenn man auf einer Maschine die aus dem Internet erreichbar ist den Port öffnet kann man diese auch sehen. Und die Telekom Router hatten wohl keine wirklich undichte Stelle was die Fernwartung angeht. Das sie dennoch davon betroffen wurden ist der Tatsache geschuldet das es einen anderen Bug im RTOS Betriebssystem der Router der Firma Arcadyan gibt der dafür sorgt das der Router offline geht. Hinzu kommen ein paar weitere Sicherheitsprobleme. Details will Comsecuris nicht nennen, hätte diese aber nach eigenen Aussagen der Telekom mitgeteilt. 

Das angreifende Mirai-ähnliche Botnetz versucht auch verschiedene Hardwarearchitekturen mittels Script Injection via Javascript anzugreifen. Die betroffenen Router haben offenbar ein Problem mit dem SetNTPServer das es erlaubt Befehle auf dem System auszuführen. Das dies nicht klappt ist einzig und allein der Tatsache geschuldet das dort kein Linux läuft, sondern eben RTOS was logischerweise mit Linux Befehlen nichts anfangen kann. Und das endet dann eben schlussendlich in einem streikenden Router. 

Das Schema und die Angriffsmethode zeigt auch das versucht wird alles mögliche zu kompromittieren was auf Linux Basis funktioniert, genauer gesagt, embedded Linux dürfte wohl das Ziel sein. Es wurden Downloads beobachtet die verschiedene Angriffsmuster ausprobierten. Daher kann man schließen das weder die Telekom noch deren Router Angriffsziel waren. Sie waren zufällige Opfer. 

Dennoch ist der Angriff nach wie vor am Laufen und die Admins sind gut beraten Port 7547 im Auge zu behalten. Dass das Protokoll TR-064, das eigentlich für die lokale Konfiguration gedacht ist, aus dem Internet erreichbar war, ist der eigentliche Kardinalfehler der in der Folge die bekannten Kreise zog. Zudem kann man auf den betroffenen Geräten TR-064 auch ohne Authentifizierung nutzen was in meinen Augen ebenfalls ein Sicherheitsproblem darstellt. 

Da dieses Botnetz noch aktiv ist, kann man erwarten das bald, vermutlich aus dem Bereich des Internet of Things, weitere Probleme im Zusammenhang mit dieser Script Injection auftauchen werden. 

Wenn dieser Beitrag hilfreich war oder er dir einfach nur gefallen hat dann spende einen Betrag deiner Wahl. Ich danke dir bereits im Voraus.

Spende via Bitcoin

1JDcMQFxtZJTKxzTgz5XcP4hkXqb8AmeLR

Oder via Paypal bzw. Überweisung

Bitte loggen Sie sich ein, um Ihre Spende abzuschließen.

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Schreibe einen Kommentar

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden. Damit diese Seite funktioniert ist es notwendig kleine Dateien (genannt Cookies) auf deinem Computer zu speichern. Zudem erhöhen die Cookies den Bedienungskomfort für dich. Google selbst verwendet Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unserer Website zu analysieren. Außerdem gibt Google Informationen zur Nutzung unserer Website an dessen Partner für soziale Medien, Werbung und Analysen weiter. Die geschieht über die eingeblendeten Werbebanner. Wenn du diese Seite benutzt stimmst du der Nutzung von Cookies zu. Über Ihre Browsereinstellungen kannst du entscheiden ob Cookies angenommen werden oder nicht. Auch kannst du Cookies jederzeit und auch gezielt über den Browser löschen. Due kannst den Browser auch so konfigurieren das beim Schliessen alle Cookies automatisch gelöscht werden. Weit über 90% aller Webseiten setzen Cookies. Jedoch werden wir seit dem 26. Mai 2012 per EU Datenschutz Regelung dazu aufgefordert zuerst deine Zustimmung einzuholen.

Schließen