Durch eine Sicherheitslücke in den Fernwartungsservern für Router bei einigen großen Internetprovidern wird derzeit versucht eine Schadsoftware bei mehreren Millionen Kunden-Routern zu implementieren. Dafür wird das Protokoll TR-069 via Port 7547 benutzt.

Betroffen sind vor allem sogenannte Zwangsrouter, die von manchen Providern „zwangsweise“ installiert werden um zentral Updates verteilen zu können. Diese speziell gefertigten Router erlauben das Schließen dieses Ports meist nicht. Bei frei im Handel verkauften benutzereignen Routern ist der entsprechende Port im Normalfall geschlossen oder könnte, falls offen, manuell geschlossen werden. Die Angriffe bleiben dadurch wirkungslos.

Sie haben die Möglichkeit Ihren Router über die Website von heise.de zu testen: https://heise.de/security/dienste/portscan/test/do.shtml

Wenn ein Test ergibt, daß der Port 7547 offen steht, heißt das noch nicht, daß Ihr Router von einem Botnet gekapert ist, aber die Möglichkeit ist gegeben. Es ist denkbar, daß Sie durch Konfigurationsänderungen am Router über räuberische Webserver geleitet werden und persönliche Daten bekannt werden.

Wenn der Test ergibt, daß der Port geschlossen ist, heißt das leider nicht, daß er keinesfalls infiziert ist. Die infizierten Geräte schließen den Port nach der Infektion selbst, so daß kein weiterer Download der gleichen Malware erfolgen kann.

Wenn der Port also bei einem Zwangsrouter offen steht ist es eher ein Zeichen, daß er noch nicht infiziert ist und/oder für den Hackertrick nicht anfällig ist.

Es gibt dennoch keinen Grund, daß das gesamte Internet auf Ihren Port 7547 zugreifen können muß. Um die Updates durchzuführen genügt es, wenn das nur aus dem Netz Ihres Providers möglich ist und nicht aus dem gesamten Internet. Telekom und Kabel Deutschland haben inzwischen verlauten lassen, daß Sie versuchen den gesamten Verkehr über das TR-069 Protokoll zu blockieren oder dies bereits jetzt zu tun. Das ist die einzig sinnvolle Maßnahme gegen weitere Infekte.

Wie kann man feststellen ob der Router infiziert ist ?

Der Normalbenutzer kann es gar nicht. Aber… Das schädliche Programm befindet sich nur im Arbeitsspeicher des Routers. Das heißt startet man den Router neu ist er wieder sauber. Das Problem ist, da die Angriffe im 3-5 Minutentakt erfolgen kann er sich, wenn anfällig, sofort wieder infizieren. Wenn Ihr Provider allerdings sein Netz für TR-069 gesperrt hat, kann er es nicht. Dann bleibt er sauber.


Leave a Reply