Betroffen vom (Telekom-)Router-Hack? 68020-Kuriosum...

[1ST1]

Wer von euch war/ist denn von dem Problem bei der Telekom und anderen Providern betroffen? Ich nicht, habe einen TP-Link-Router und keinen Speedport... Nachdem ich die jüngsten Nachrichten las, habe ich mich mal umgeschaut, was man über diesen Hack heraus bekommen kann und bin da auf diese Seite gestoßen:

https://isc.sans.edu/diary/Port+7547+SOAP+Remote+Code+Execution+Attack+Against+DSL+Modems/21759

Der Hack hat also versucht, eine ausführbare Datei auf Routern mit Sicherheitslücken im TR-069 Protokoll auf TCP 7547 herunterzuladen und auszuführen. Die Angreifer waren gut ausgerüstet, auch wenn der Angriff wegen Fehlern (so schreibt Heise) letztlich fehlschlug. Außer dass alleine bei der Telekom 900.000 Router ausfielen, scheint nach derzeitigen Erkenntnissen erstmal nichts weiter passiert zu sein. Aber schlimm genug, aber nicht auszumalen, wenn es den Hackern tatsächlich gelungen wäre, die Software auf den Routern auszuführen, statt dass sie damit abgestürzt sind. Gut ausgerüstet meint, dass die Software (Dateien 1 bis 7) nativ für verschiedene Router-Prozessoren vorkompiliert vorlag, und hier kommt das Kuriosum ins Spiel:

1: ELF 32-bit LSB  executable, MIPS, MIPS-I version 1 (SYSV), statically linked, stripped
2: ELF 32-bit LSB  executable, MIPS, MIPS-I version 1 (SYSV), statically linked, stripped
3: ELF 32-bit LSB  executable, ARM, version 1, statically linked, stripped
4: ELF 32-bit LSB  executable, Renesas SH, version 1 (SYSV), statically linked, stripped
5: ELF 32-bit MSB  executable, PowerPC or cisco 4500, version 1 (SYSV), statically linked, stripped
6: ELF 32-bit MSB  executable, SPARC version 1 (SYSV), statically linked, stripped
7: ELF 32-bit MSB  executable, Motorola 68020 - invalid byte order, version 1 (SYSV), statically linked, stripped

Schau mal einer an, 68020... Ob damit der Coldfire gemeint war, oder wollten die Hacker hiermit ans Internet angeschlossene ATARIs (mit PAK 68/2 oder besser) und Amigas (mit Debian-Linux, wegen ELF-Format) oder gar Firebees kapern?

[neogain]

Schau mal einer an, 68020... Ob damit der Coldfire gemeint war, oder wollten die Hacker hiermit ans Internet angeschlossene ATARIs (mit PAK 68/2 oder besser) und Amigas (mit Debian-Linux, wegen ELF-Format) oder gar Firebees kapern?

Da hat 1ST1 aber wirklich Phantasie XD ich glaube, wenn ein Coldfire oder 68K20 gekapert wird, bekommt man das schon mit

Bin seit 15 Jahren bei Kabel D. bisher konnte ich die Ausfälle an einer Hand abzählen, waren aber immer von kurzer Dauer (Stunden).

Somit ist mir völlig Wurscht, was bei den Telekomikern passiert. Hab selber in dem Laden gearbeitet (Procruement PTI SB/KL) und weiß daher auch, dass man keinen Router von der Stange nehmen soll. Besonders keine Fritzboxen und Speedports.

[1ST1]

Der Angriff war übrigens nicht auf die Telekom begrenzt, die Sache hat globale Dimensionen. Brasilien, Indonesien, USA und viele andere Länder sind mit jeweils hundertausenden Geräten betroffen, wie ich vorhin in einer Grafik sehen konnte. Die Telekom hat es halt besonders getroffen, weil bekannte Lücken nicht geschlossen wurden. Ich habe auch einen TDSL Zugang aber ich betreibe daran einen Archer v900vr von TP-Link und hatte TR-069 abgeschaltet und daher kein Problem. Sicherheitshalber habe ich aber eben noch eine seit 2 Wochen verfügbare neue Firmware eingespielt, der Angriff war mal wieder ein Anlass dafür.

Trotzdem würde mich mal interessieren, welche Router heute noch mit einem 68K laufen. Die könnten ja unterirdisch langsam sein, wenn ich vergleiche, der Archer hat eine ARM CPU mit 1,2 GHz drin. Es gibt ja nicht mal so schnelle Coldfires.

[neogain]

nen TP Link habe ich auch nach meinem Kabelmodem hängen. Kabel D. vertreibt jetzt nur noch die Hitron Modemrouter. Da muss man dann sich bei Kabel D. melden und sagen, dass Dingen soll nur noch ein Modem sein, dann kann man seinen externen Router dranklemmen. Mit OpenWRT läuft so ein TP-Link prächtig.

Ich könnte mir heute noch in den Ar... treten. Zur meiner Ausbildungszeit war ich in einem Hard- und Softwarebetrieb, der 2003 nach meiner Ausbildung die Pforten geschlossen hat (sag nur MediaMarkt zog in die Stadt). Hier waren noch schöne Restbestände vorhanden wie 68030, 68040 und 68060 Cpu's vorhanden. Wurden alle entsorgt, weil kein Bedarf. Hätte ich damals gewusst, was die Dinger heute bringen, hätte ich ein kleines Vermögen :/

Aber hätte, hätte, Fahrradkette... So ist das halt

[Lynxman]

Trotzdem würde mich mal interessieren, welche Router heute noch mit einem 68K laufen. Die könnten ja unterirdisch langsam sein, wenn ich vergleiche, der Archer hat eine ARM CPU mit 1,2 GHz drin. Es gibt ja nicht mal so schnelle Coldfires.

Würde mich wundern wenn die Daten von der CPU geschaufelt werden...

[1ST1]

Es ist ein aktives Routing, und bei den Heim-Dingern auch mit DMZ, NAT, Portforwarding, ggf, Kindersicherung, Backlist, Firewall, Logging, SNMP-Monitoring und anderes. Wie will man das ohne CPU machen?

[Nervengift]

Ich selbst hatte am Sonntag keine Probleme, aber ich verwende auch noch immer einen uralt Speedport W 701V bei dem ich damals die automatische Konfiguration deaktiviert hatte. Bei meiner Schwester mit einem entsprechend modernen VDSL-Telekomrouter gab es all die beschriebenen Probleme am Sonntag. Dass das nun ein Hackerangriff sein könnte, wäre mir zu dem Zeitpunkt nicht im Leben eingefallen!

Keine Ahnung in welchen modernen Routern eine 68020 oder höher schuften sollte. Aber vielleicht ist der Hacker/Programmierer ja auch Atari, Commodore, Mac 68k Fan und hat deswegen den Code mit aufgenommen.

Alles in allem steht man aber noch im Dunkeln, finde ich. Man weiß zwar was da inetwa ablief, aber was der Schadcode jetzt anstellt und ob die Infektionen erfolgreich sind oder waren ist eine ganz andere Frage, die mir zumindest noch nicht so wirklich klar ist.

[1ST1]

Wenn ich so vergleiche, merke ich dass ich wohl Auswirkungen gehabt habe, war am Sonntag Abend am programmieren, Scriptsprache für LCDHype, gestern auch, komische Syntax, aber faszinierend, man tippt im laufenden Quellcode rum und sieht sofort die Änderung auf dem Display, naja, egal... Jedenfalls bin ich da in deren Forum mir Code reinzupfeifen um das besser zu verstehen, aber auch hier um mal zu gucken was so abgeht, und auch anderswo, und mir kam das alles so schleppend langsam vor. Da muss es massig Attacken gegeben haben. Im englischen Atari-Forum hat sich jemand über die Langsamkeit beschwert, vielleicht gab es da ja einen Zusammenhang? Heute ist alles wieder gewohnt schnell.

[mfro]

TR-069 (der Angriffsvektor der Telekom-Geschichte) ist ein Konfigurationsprotokoll für die Fernwartung von Routern. Die Telekom-CE-Router sollten das ausschließlich von den Telekom-PE-Routern akzeptieren. Daß sie das nicht tun und die Speedports (und andere) da auch noch eine Sicherheitslücke haben, ist den Router-Herstellern anzukreiden. Aber eine Software-Lücke ist immer mal drin.

Daß die Telekomiker (da lacht ja gar keiner) aber TR-069 fremder Sender über ihre eigene Infrastruktur  durchleiten und auf ihre Kundengeräte loslassen (von denen sie wissen, daß sie dafür empfänglich sind), ist schlicht fahrlässig. Die müssten spätestens auf ihren PE-Routern das Protokoll abfangen und entsprechende Pakete wegwerfen.

Zum Glück bin ich weder bei der Telekom noch lasse ich irgendjemanden anders als mich selbst meinen Router konfigurieren ...

[yalsi]

Tja, das ist wieder die Frage. Wenn die DTAG das Tr069 Protokoll sperrt, schreien wieder einige "Netzneutralität" und "Zensur".... nicht, das dies nicht ernste Themen wären, aber da liegt wohl die Zwickmühle. OK, ich hätte wahrscheinlich auch genau das empfohlen, lokaler Paketfilter und Aussperren aller fremden Netze von den Mgmt.ports, aber das gibt immer Diskussionen.

Trotzdem- das ist erst der Anfang. Erst das Mirai Botnetz, dann das hier, Mal warten, was dann kommt. Bis Weihnachten kommen noch mindestens 2 solcher Klopfer, wetten? Botnetze mit Always On Systemen bei Endkunden aufzubauen, ist einfach zu verlockend.

Nur Mal so am Rande- Georg B. aus N.

[mfro]

Tja, das ist wieder die Frage. Wenn die DTAG das Tr069 Protokoll sperrt, schreien wieder einige "Netzneutralität" und "Zensur"....

Die Ports sind doch für die Endanwender praktisch sowieso gesperrt - zumindest solange die Router darauf lauschen.

Ich denke eher, daß es für die Telekom schlicht zu aufwendig erschien, in ihrem Netz zwischen ihren eigenen Kunden und "durchgeschalteten" Kunden anderer Provider zu unterscheiden- da haben sie eben alles aufgemacht. Rächt sich jetzt.

[1ST1]

@yalsi, das war Mirai. Und ich gebe dir recht, das war erst der Anfang.

Zum Glück war der Schadcode falsch programmiert und hing sich auf. Das war zwar auch eine Katastrophe für die Betroffenen, aber nicht auszumalen, wenn sich das Ding sich tatsächlich dort erfolgreich eingenistet hätte. Zum einen wegen dem Schaden, den man mit 900.000 Zombies anrichten kann, zum anderen wie würde man auch dem letzten User klarmachen, dass er seinen Router neu starten soll, wo doch alles funktioniert...? Fernwartung durch die Telekom war ja auch nicht mehr möglich, weil der Schadcode als erstes 7547 dicht gemacht hat. Auf jeden Fall muss sich die Telekom und der Hersteller dieser Geräte fragen lassen, woeso dieser Angriff überhaupt möglich war, in Grundzügen war das nämlich seit 2014 bekannt und seit Anfang November gab es für diese Lücke einen Exploit. Eigentlich hätte man genug Zeit gehabt, um darauf zu reagieren, zumal es schon vor einer Woche einen gleichartigen Vorfall in Irland gab.

Aber das 68020 Mysterium ist immer noch nicht geklärt.

[mfro]

Aber das 68020 Mysterium ist immer noch nicht geklärt.

Ich gehe mal davon aus, daß das schlicht eine falsche Interpretation des verwendeten "file"-Kommandos ist (file versucht einen ELF-, COFF oder a.out header zu interpretieren, wahrscheinlich haben die entsprechenden Binaries aber gar keinen).

Leider ist die "tr069.pw"-Datei anscheinend nirgends mehr verfügbar bzw. die entsprechenden bekannten Server-IPs gesperrt oder aus dem DNS genommen, sonst würde ich mir das mal anschauen.

Jedenfalls wäre ein m68020 oder auch eine ColdFire-MCU für heutige DSL-Bandbreiten und insbesondere die aufwendigen Web-Konfigurationsinterfaces zu langsam. Ich meine, den letzten ColdFire-basierten Router gab's vor zehn Jahren oder so. Heutzutage sind das meist MIPS CPUs.