Neue TR-069-Schwachstelle gefährdet Millionen Router, Kunden machtlos
Sicherheitslücken im Fernwartungsprotokoll TR-069 und dessen Implementierung gefährden Millionen Router.
Bild: dpa
Der Sicherheits-Experte Shahar Tal hat mehrere Lücken in einer Software gefunden, die für die Fern-Konfiguration von Routern zum Einsatz kommt.
Dies berichtet das Online-Portal heise.de.
Besonders kritisch ist, dass die Angriffe auf Server des Anbieters möglich sind, die umfangreiche Konfigurationsänderungen auf Routern der Kunden einspielen können. Zusätzlich gibt es im TR-069-Protokoll selbst problematische Vorgaben, die für weitere Gefahr sorgen.
TR-069: Fernwartungsprotokoll mit Schwächen
Sicherheitslücken im Fernwartungsprotokoll TR-069 und dessen Implementierung gefährden Millionen Router.
Bild: dpa
Das TR-069-Protokoll erlaubt einem Internet-Anbieter, die Router seiner Kunden zu konfigurieren. Sogenannte Auto Configuration Server (ACS) verteilen neue VoIP-Zugangsdaten oder andere Informationen. Auf diesen Servern läuft spezielle Software, zum Beispiel openACS oder genieACS - beide Open-Source. Shahar Tal habe in beiden Programmen Sicherheitslücken entdeckt, die ein Angreifer ausnutzen könne, um beliebigen Code auf dem ACS ausführen zu können. Der erfolgreiche Hacker könne jetzt nicht nur die Server, sondern von den Servern aus auch die Router der Kunden des Internet-Anbieters steuern. Es sei zum Beispiel möglich, auf VoIP-Zugangsdaten zuzugreifen.
Shahar Tal habe bei einem irakischen Internet-Provider angreifbare Software vorgefunden. Konkrete Aussagen zu deutschen Providern machte der Experte nicht. Heise Online nennt die Deutsche Telekom, Unitymedia und Kabel Deutschland, die TR-069 einsetzen. Ob diese allerdings auf verwundbare Server-Software setzen, ist unklar.
TR-069-Protokoll sieht keine verpflichtende Verschlüsselung vor
Das zweite Problem sei das TR-069-Protokoll selbst. Dieses ufere immer weiter aus und verfüge über einige mächtige Funktionen. Das Protokoll sehe aber keine verpflichtende Verschlüsselung der Verbindung vor - Shahar Tal habe festgestellt, dass rund 80 Prozent der Anbieter die TR-069-Verbindungen nicht verschlüsseln. Zusätzlich sei die Authentifizierung der Server durch die Router anfällig. Einige nahmen in seinen Tests selbst erstellte Zertifikate an, und ließen sich vorgaukeln, ein echter ACS-Server des Anbieters verteile neue Einstellungsdaten.
Das kann eine Gefahr für Kunden sein: Denn so könne ein Angreifer mit einer gut gefälschten Anfrage an den Router eines Internet-Nutzers das Gerät anweisen, beispielsweise eine manipulierte Firmware zu installieren.
Fernwartung abschalten nicht immer möglich
Das TR-069-Protokoll abzuschalten, könnte den eigenen Router absichern. Das ist aber gar nicht so einfach. Bei vielen von den Festnetzbetreibern vertriebenen Routern ist TR-069 zwangsweise aktiviert. Denn die Internet-Anbieter nutzen TR-069, um bei Bedarf beispielsweise neue Konfigurationsdaten zu verteilen oder Firmware-Updates der Router anzustoßen. Dennoch TR-069 abzuschalten, zum Beispiel per Firmware-Hack, könnte zur Folge haben, dass der Internet-Anschluss plötzlich nicht mehr funktioniert. Bei im Einzelhandel unabhängig vom Provider erworbenen Routern ist TR-069 hingegen in der Regel inaktiv - und es gibt in der Regel auch keinen Grund, es nachträglich von Hand einzuschalten.
Für Kunden sind solche Sicherheitslücken äußerst unangenehm, denn sie haben kaum eine Möglichkeit, sich gegen einen Angriff zur Wehr zu setzen. Im schlimmsten Fall bemerken sie nicht einmal, dass ein Hacker ihren Router manipuliert hat. Internet-Anbieter sind aufgefordert, ihre ACS-Software regelmäßig zu aktualisieren und Sicherheits-Patches zu installieren. Kunden wiederum sollten TR-069 ausschalten, soweit das überhaupt geht.
Tipps zum sicheren Surfen im Internet haben wir auf unserer Infoseite zusammengefasst.