- Anzeigen -


Schadhafte Implementierung des CWMP-Protokolls


Telekom-Hack: Avast Software bietet kostenlosen Heimnetzwerk-Sicherheits-Scan
Endanwender können überprüfen, ob ihre Router betroffen sind



Avast Software bietet Anwendern an, mit dem Heimnetzwerk-Sicherheits-Scan kostenfrei zu prüfen, ob auch ihre Router von der Sicherheitslücke betroffen sind, die kürzlich rund 900.000 Kunden der Deutschen Telekom überrascht hat. Bei der Sicherheitslücke nutzten die Angreifer eine Schwachstelle in der Konfiguration der Router aus und konnten so die Netzwerke vieler Haushalte komplett lahmlegen.

Avast Heimnetzwerk-Sicherheit ist Teil von "Avast Free Antivirus" und allen Premium-Versionen von Avast. Die Funktion entdeckt auch andere Sicherheitslücken sowie ob der Router durch ein unsicheres Passwort gefährdet ist, oder ob er bereits DNS-Hijacking zum Opfer gefallen ist.

Der technische Hintergrund
Das Problem des aktuellen Hacks liegt in einer schadhaften Implementierung des CPE-WAN-Management (CWMP)-Protokolls, auch TR-069 genannt, welches einige Internet-Service-Provider (ISPs) wie die Deutsche Telekom für die Fernkonfiguration von Routern einsetzen, um beispielsweise Domain Name Service (DNS)- oder Network Time Protokoll (NTP)- Einstellungen zu ändern. CWMP nutzt den TCP Port 7547, der weltweit weit verbreitet ist. Es ist der Port, der weltweit am zweithäufigsten offen ist – mehr als 40 Millionen Mal – gleich nach dem TCP Port 80, der für HTTP genutzt wird. ISPs lassen den Port oft absichtlich offen, um das jeweilige Gerät aus der Ferne verwalten zu können. Allerdings ist das Gerät dadurch auch für Angreifer frei zugänglich.

"Besonders perfide ist, dass Angreifer, nachdem sie ein Schadprogramm in das Gerät eingeschleust haben, den Port hinter sich schließen können, so dass der ISP nun selbst nicht mehr auf das Gerät zugreifen kann, um das Schadprogramm zu entfernen", erklärt Pavel Šrámek, Malware Analyst bei Avast.

Was ist passiert?
Bei der Schwachstelle handelt es sich um ein Problem bei der Übertragung von NTP-Time-Server-Adressen. Normalerweise erlaubt das CPE WAN Management Protocol CWMP es dem ISP, den Namen eines NTP-Servers zu senden, wodurch das Gerät die aktuelle Zeit abrufen kann, um seine Uhr einzustellen. Durch eine Schwachstelle ist es Angreifern aber möglich, den NTP-Server-Namen mit einer Serie an Befehlen zu ersetzen, welches das Gerät dann ausführt und beispielsweise ein Schadprogramm herunterlädt. Nicht alle Geräte, die via CWMP-Protokoll verwaltet werden, sind von dem Problem betroffen, sondern nur jene, die für diesen Vorgang keine Authentifizierung erfordern. So sind beispielsweise Geräte der Deutschen Telekom betroffen, wohingegen Router von Verizon keinen Schaden genommen haben, da Verizon eine Authentifizierung erfordert.

Ohne eine Authentifizierung können Angreifer auf vielen Geräten Codes ferngesteuert ausführen – so eben auch in Speedport-Routern der Deutschen Telekom. Viele Internet Service Provider (ISP) haben die Schwachstelle auf ihren Geräten nicht rechtzeitig erkannt. Für Cyberkriminelle war es ein leichtes Spiel, da sie durch nur eine Schwachstelle Hunderttausende von Geräten gleichzeitig angreifen konnten. Beispielsweise haben auch die Autoren des bekannten Mirai-Botnets – welches kürzlich IP-Kameras mit Default-Passwörtern angegriffen hat – begonnen, diese Schwachstelle auszunutzen. Es kann sein, dass die Mirai-Botnet-Autoren auch hinter dem Hacker-Angriff auf Deutsche Telekom-Kunden stecken.

"Viele Deutsche Telekom-Kunden haben jetzt das Problem unsicherer Router am eigenen Leib erfahren – man kann sagen, dass dies aber leider nur ein Vorgeschmack war, auf das, was noch kommen könnte. Der nächste Schritt für Angreifer wäre, über die Router auf Geräte im Heimnetzwerk zuzugreifen, wie Webcams, Smart-TVs oder das Thermostat", sagt Pavel Šrámek. "Wir als digitales Sicherheitsunternehmen arbeiten mit Router-Herstellern an Lösungen, um Router sicherer zu machen – letztendlich gehört Sicherheitssoftware direkt auf den Router, da er das Herzstück des Heimnetzwerks ist, über das alle smarten Geräte zuhause mit dem Internet verbunden sind. Durch ein Update unseres Heimnetzwerk-Scans können Endanwender überprüfen, ob ihre Router betroffen sind."
(Avast Software: ra)

eingetragen: 09.12.16
Home & Newsletterlauf: 21.12.16


Avast Software: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Antivirus / Anti-Malware

  • Beast erkennt bösartige Vorgänge treffsicher

    Ransomware, Phishing, Banking-Trojaner: Cyberkriminelle arbeiten ständig daran, Schadprogramme zu entwickeln, die von Sicherheitslösungen nicht erkannt werden. Um für umfassenden Schutz gegen Cyberangriffe zu sorgen, setzt das deutsche Cyber Defense Unternehmen G Data auf Beast. Die neue Technologie erkennt Malware anhand des schädlichen Verhaltens und stoppt diese umgehend. Beast ist ab sofort in allen Windows-Produkten enthalten. Zum Start des neuen Apple Betriebssystems Catalina bringt G Data außerdem eine rundum erneuerte Antivirus Mac-Version auf den Markt.

  • "Norton 360" bietet mehrere Schutzschichten

    "Norton Lifelock", der Privatkundenbereich der Symantec Corporation, bringt die nächste Generation seiner Cybersicherheits-Lösung Norton 360 in Deutschland auf den Markt. Die neue, umfassende Cyber-Security-Plattform Norton 360 hilft Privatpersonen, ihre Online-Informationen, Geräte sowie die ganze Familie zu schützen und ist in drei Versionen erhältlich: Standard, Deluxe und Premium. Secure VPN, PC Cloud-Backup, PC SafeCam und Kindersicherung sind einige der neu integrierten Funktionen - und diese sind heutzutage wichtiger denn je. "Allein im letzten Jahr wurden fast 19 Millionen Erwachsene in Deutschland Opfer von Cyberkriminalität. Verbraucher möchten im Internet eine größere Kontrolle über ihr Online-Leben und persönliche Informationen. Gleichzeitig steigt die Zahl der digitalen Bedrohungen rapide an. Mit Norton 360 geben wir den Menschen Kontrolle - sei es bei der Abwehr von Ransomware, bösartigen Anwendungen oder Risiken für ihre persönlichen sowie finanziellen Informationen", erklärt Gareth Lockwood, General Manager Sales und Marketing EMEA, Norton LifeLock.

  • Mehr als ein Antiviren-Programm

    McAfee stellt ein neues Sicherheitsportfolio vor, das eine gesteigerte Systemleistung und die effiziente Identifikation von Gefährdungen ermöglicht. Die neue Vielfalt der Produktpalette verspricht neben dem Schutz von Privatsphäre auch eine gesteigerte Sicherheit für das digitale Leben der Kunden und adressiert die Bedürfnisse der Gaming-Community. Sicherheit oder Leistung, in diesem Zwiespalt befinden sich Gamer oftmals. Das neue Produkt "McAfee Gamer Security" bietet die einzigartige Möglichkeit, beide Aspekte zu vereinen. Eine aktuelle McAfee-Umfrage zeigt, dass 64 Prozent der Gamer bereits selbst von einer Cyber-Attacke betroffen waren oder Betroffene kennen.

  • Dreißig Sicherheitsschichten & ein Agent

    Bitdefender hat ihre Endpunkt-Sicherheitslösung "GravityZone" um Sicherheitsrisikoanalysen erweitert. Die Funktionalität erkennt Risiken aus Fehlkonfigurationen, priorisiert diese und behebt sie. So reduzieren Unternehmen und Organisationen die Angriffsfläche ihrer Endpunkte und schützen ihre Systeme vorbeugend. Die meisten der heutigen IT-Bedrohungen richten sich gegen allgemein bekannte Anwendungs- und Konfigurationsschwachstellen von Endgeräten. So nutzte beispielsweise die Ransomware WannaCry risikoreiche Konfigurationen aus. Die Folgen der Attacke wären durch einfache Änderungen der Konfigurationsrichtlinien deutlich abgemildert worden.

  • Schnell und proaktiv auf Bedrohungen reagieren

    Unisys stellte die neueste Version ihrer Sicherheitssoftware "Unisys Stealth". "Stealth 4.0" ist eine Sicherheitssoftware mit "Dynamic Isolation"-Funktion, die Geräte oder Benutzer beim ersten Anzeichen von Gefährdungen schnell isoliert. Sie ist auf Bedrohungen im Zusammenhang mit der sich ständig weiterentwickelnden digitalen Landschaft ausgerichtet, in der die Akzeptanz und Implementierung von Cloud, Mobile und dem Internet of Things (IoT) weiter zunimmt. Durch die Integration in das SIEM-Systems (Security Incident and Event Management) von LogRhythm gibt Stealth 4.0 Kunden die Möglichkeit, sofort mit geeigneten Maßnahmen auf Sicherheitsvorfälle zu reagieren und laufende Angriffe zu stoppen.