- Anzeigen -


Schadhafte Implementierung des CWMP-Protokolls


Telekom-Hack: Avast Software bietet kostenlosen Heimnetzwerk-Sicherheits-Scan
Endanwender können überprüfen, ob ihre Router betroffen sind

- Anzeigen -





Avast Software bietet Anwendern an, mit dem Heimnetzwerk-Sicherheits-Scan kostenfrei zu prüfen, ob auch ihre Router von der Sicherheitslücke betroffen sind, die kürzlich rund 900.000 Kunden der Deutschen Telekom überrascht hat. Bei der Sicherheitslücke nutzten die Angreifer eine Schwachstelle in der Konfiguration der Router aus und konnten so die Netzwerke vieler Haushalte komplett lahmlegen.

Avast Heimnetzwerk-Sicherheit ist Teil von "Avast Free Antivirus" und allen Premium-Versionen von Avast. Die Funktion entdeckt auch andere Sicherheitslücken sowie ob der Router durch ein unsicheres Passwort gefährdet ist, oder ob er bereits DNS-Hijacking zum Opfer gefallen ist.

Der technische Hintergrund
Das Problem des aktuellen Hacks liegt in einer schadhaften Implementierung des CPE-WAN-Management (CWMP)-Protokolls, auch TR-069 genannt, welches einige Internet-Service-Provider (ISPs) wie die Deutsche Telekom für die Fernkonfiguration von Routern einsetzen, um beispielsweise Domain Name Service (DNS)- oder Network Time Protokoll (NTP)- Einstellungen zu ändern. CWMP nutzt den TCP Port 7547, der weltweit weit verbreitet ist. Es ist der Port, der weltweit am zweithäufigsten offen ist – mehr als 40 Millionen Mal – gleich nach dem TCP Port 80, der für HTTP genutzt wird. ISPs lassen den Port oft absichtlich offen, um das jeweilige Gerät aus der Ferne verwalten zu können. Allerdings ist das Gerät dadurch auch für Angreifer frei zugänglich.

"Besonders perfide ist, dass Angreifer, nachdem sie ein Schadprogramm in das Gerät eingeschleust haben, den Port hinter sich schließen können, so dass der ISP nun selbst nicht mehr auf das Gerät zugreifen kann, um das Schadprogramm zu entfernen", erklärt Pavel Šrámek, Malware Analyst bei Avast.

Was ist passiert?
Bei der Schwachstelle handelt es sich um ein Problem bei der Übertragung von NTP-Time-Server-Adressen. Normalerweise erlaubt das CPE WAN Management Protocol CWMP es dem ISP, den Namen eines NTP-Servers zu senden, wodurch das Gerät die aktuelle Zeit abrufen kann, um seine Uhr einzustellen. Durch eine Schwachstelle ist es Angreifern aber möglich, den NTP-Server-Namen mit einer Serie an Befehlen zu ersetzen, welches das Gerät dann ausführt und beispielsweise ein Schadprogramm herunterlädt. Nicht alle Geräte, die via CWMP-Protokoll verwaltet werden, sind von dem Problem betroffen, sondern nur jene, die für diesen Vorgang keine Authentifizierung erfordern. So sind beispielsweise Geräte der Deutschen Telekom betroffen, wohingegen Router von Verizon keinen Schaden genommen haben, da Verizon eine Authentifizierung erfordert.

Ohne eine Authentifizierung können Angreifer auf vielen Geräten Codes ferngesteuert ausführen – so eben auch in Speedport-Routern der Deutschen Telekom. Viele Internet Service Provider (ISP) haben die Schwachstelle auf ihren Geräten nicht rechtzeitig erkannt. Für Cyberkriminelle war es ein leichtes Spiel, da sie durch nur eine Schwachstelle Hunderttausende von Geräten gleichzeitig angreifen konnten. Beispielsweise haben auch die Autoren des bekannten Mirai-Botnets – welches kürzlich IP-Kameras mit Default-Passwörtern angegriffen hat – begonnen, diese Schwachstelle auszunutzen. Es kann sein, dass die Mirai-Botnet-Autoren auch hinter dem Hacker-Angriff auf Deutsche Telekom-Kunden stecken.

"Viele Deutsche Telekom-Kunden haben jetzt das Problem unsicherer Router am eigenen Leib erfahren – man kann sagen, dass dies aber leider nur ein Vorgeschmack war, auf das, was noch kommen könnte. Der nächste Schritt für Angreifer wäre, über die Router auf Geräte im Heimnetzwerk zuzugreifen, wie Webcams, Smart-TVs oder das Thermostat", sagt Pavel Šrámek. "Wir als digitales Sicherheitsunternehmen arbeiten mit Router-Herstellern an Lösungen, um Router sicherer zu machen – letztendlich gehört Sicherheitssoftware direkt auf den Router, da er das Herzstück des Heimnetzwerks ist, über das alle smarten Geräte zuhause mit dem Internet verbunden sind. Durch ein Update unseres Heimnetzwerk-Scans können Endanwender überprüfen, ob ihre Router betroffen sind."
(Avast Software: ra)

eingetragen: 09.12.16
Home & Newsletterlauf: 21.12.16


Avast Software: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -

Meldungen: Antivirus / Anti-Malware

  • Neue Technologie erkennt auch getarnte Schädlinge

    Eine innovative neue Machine-Learning-Technologie verändert ab sofort die Spielregeln im Kampf gegen Cybercrime. DeepRay ist das Ergebnis langjähriger Forschung und Entwicklung bei G Data und hebt die Erkennung von Bedrohungen mit Hilfe von künstlicher Intelligenz auf ein neues Level. Mit dieser Technologie ist G Data Cyberkriminellen ab sofort einen Schritt voraus, weil sich selbst hochentwickelte Schadsoftware nicht vor dem neuen Analyseverfahren verstecken kann.

  • Schutz bis in die Tiefe

    Bedrohungen bekämpfen, bevor sie überhaupt eintreten - Endpoint-Schutz und Präventionslösungen sind in diesem Zusammenhang unerlässlich, um Cyber-Bedrohungen zu bekämpfen. F-Secure und seine Managed Service Provider bieten Unternehmen mit dem neuen "F-Secure Rapid Detection & Response" nun ein umfangreiches Werkzeug gegen Cyber-Angriffe aus einem Guss an.

  • Malware-Erkennung im digitalen Zeitalter

    Der Premiumschutz der neuen "Avira Internet Security Suite 2019" umfasst neben Malware-Erkennung und einem Software Updater nun auch moderner Passwort-Management-Funktionen. Reine Malware-Erkennung ist im digitalen Zeitalter nicht mehr ausreichend, um lückenlose Sicherheit zu gewährleisten. Daher stellt Avira mit der neuen Internet Security Suite 2019 nun eine zukunftsweisende Dreifachlösung zum Schutz des digitalen Lebens der Nutzer vor. Die neue Internet Security Suite schützt Geräte nicht nur vor einem großen Spektrum an Malware, sondern behebt mithilfe des Software Updaters auch System- sowie Geräteschwachstellen und ermöglicht durch den Password-Manager und seine Sicherheitsstatus-Funktion die sichere Verwaltung von Onlinekonten.

  • Verhaltensbasierte Erkennung von Malware

    Antivirenprogramme arbeiten schon längst nicht mehr nur mit Malware-Signaturen. Zum tragen kommen hier Next-Generation-Technologien, die ein Verhaltensmuster eines Schädlings erkennen und die Ausführung des Codes verhindern. Diese Technologie kommt bei den Sicherheitslösungen von G Data bereits zum Einsatz, zum Beispiel in Form der Anti-Ransomware-Technologie oder der verhaltensbasierten Erkennung von Malware. Virustotal ist seit Jahren ein verlässliches Werkzeug für alle, die beruflich mit Malware zu tun haben. Schnell lässt sich hier eine Datei hochladen oder mit Hilfe eines Hashwertes überprüfen, ob Virenscanner aktuelle Malware bereits erkennen. Gern wird Virustotal auch von Medien genutzt um zu überprüfen, ob es gegen aktuell laufende Malware-Kampagnen bereits effektiven Schutz durch Virenscanner gibt, oder nicht.

  • Schutz vor Ransomware und Kryptominern

    Kaspersky Lab stellt eine neue Version von "Kaspersky Small Office Security" vor. Die Lösung schützt kleine Unternehmen mit bis zu 25 Netzwerkknoten (Nodes) vor aktuellen Cyberbedrohungen wie Malware, Ransomware, Kryptominer sowie vor Finanzbetrug und Phishing. Darüber hinaus bietet Kaspersky Small Office Security erweiterten Schutz für Server und Unterstützung für nötige Anwendungs-Updates, damit Angreifer nicht über Software-Schwachstellen Zugang ins Unternehmensnetzwerk erhalten. Ein weiterer Vorteil der speziell an den Bedürfnissen kleiner Unternehmen entwickelten Kaspersky-Lösung ist die einfache Handhabung: Der Out-of-the-Box-Schutz benötigt nach der Installation kaum manuelle Administration oder Fachkenntnis. Kaspersky Small Office Security ist ab sofort in Deutschland, Österreich und der Schweiz verfügbar.