Mirai: Es wird Zeit für ein tragfähiges Sicherheitskonzept

Der Angriff, der vor Kurzem die Router zahlreicher Telekom-Kunden außer Gefecht setzte, ist symptomatisch für einige größere Probleme. Er zeigt, wie schon die vor einer Weile erfolgte Attacke auf DynDNS, dass viele Geräte im Internet (gerade im sogenannten „Internet of Things“) nicht ausreichend abgesichert sind. Leider zählen auch viele Router dazu. Das muss sich ändern, denn hier bietet sich Kriminellen ein gefährliches Einfallstor. Letztendlich war es nur eine fehlerhafte Programmierung der Schadsoftware, die die Opfer – und die Allgemeinheit – vor Schlimmerem bewahrte.

Angriff legt Router lahm

Vor Kurzem wurden zahlreiche der von der Deutschen Telekom an ihre Kunden verteilten Speedport-Router durch einen Angriff zeitweise außer Gefecht gesetzt. Zunächst wurde vermutet, dass eine Schwachstelle in der Fernwartungs-Schnittstelle die Router angreifbar gemacht hatte. Über diese Schnittstelle kann der Provider beispielsweise neue Konfigurations-Informationen, aber auch Sicherheits- und sonstige Software-Updates verteilen.

Die Telekom erklärte den Vorfall jedoch in einer am 30. November veröffentlichten Erklärung ein wenig anders. Demnach sei die Fernwartung bei den fraglichen Routern gut abgesichert – und sei auch nicht angegriffen worden. Ziel des Angriffs war demnach ein anderer Daten-Port, auf dem sogenannte „Connection Requests“ eingehen – hierüber wird eine sichere Verbindung ausgehandelt, bevor die Fernwartung überhaupt durchgeführt werden kann.

Dieser Port, der in einem Protokoll festgelegt und daher bei allen Router-Typen identisch ist, wurde laut der Telekom im Übrigen gar nicht angegriffen, um der Telekom selbst zu schaden. Vielmehr sei vor Kurzem eine ernste Schwachstelle bei der Absicherung dieses Ports für einen anderen, von der Telekom nicht verwendeten Router-Typ dokumentiert worden. Kriminelle hätten deswegen einen großflächigen Angriff auf diesen Port (Port 7547/tcp) durchgeführt.

Das Ziel der Angreifer war laut Telekom „die Installation einer Schadsoftware auf den Routern, damit diese als Teil eines sogenannten Botnetzes fungieren, also als fernsteuerbare Infrastruktur für weitere Angriffe zur Verfügung stehen.“ Die Telekom-Router wiesen aber nach aktuellem Kenntnisstand keine Schwachstelle auf, die die Installation einer Schadsoftware durch einen solchen Angriff ermögliche. Allerdings habe der Angriff zum Ausfall einiger Router-Funktionen geführt, sodass Kunden mitunter das (per IP-Telefonie umgesetzte) Telefon sowie das Internet nicht nutzen konnten. Das sei aber durch einen Neustart der betroffenen Geräte in der Regel zu beheben. Dieser löscht bei infizierten Routern die Schadsoftware aus dem Arbeitsspeicher des Geräts. Andere Router, die keine entsprechende Schwachstelle besitzen, wurden durch die schiere Anzahl eingehender Anfragen auf Port 7547 in einen Absturz getrieben und könnten durch einen Neustart ebenfalls wieder in den normalen Betrieb übergehen.

Zudem hat die Telekom mittlerweile einen Software-Patch zur Verfügung gestellt, der die Router gegen derartige Angriffe unempfindlicher machen soll.

Sicherheitslücken im Internet of Things

Laut IT-Sicherheits-Experte Brian Krebs handelt es sich bei der für den Angriff verwendeten Schadsoftware um eine neue Variante des Mirai-Wurms. Dieser befällt unzureichend abgesicherte Geräte des sogenannten „Internet of Things“ (IoT), etwa Überwachungskameras, digitale Video-Recorder oder nun offenbar auch Router. Der Mirai-Wurm war aktuellen Erkenntnissen zufolge schon für den großen Angriff auf den DNS-Provider DynDNS verantwortlich, der im Oktober zum Ausfall zahlreicher, teils sehr populärer Internet-Dienste führte. Neben derartigen DDoS-Angriffen wird Mirai unter anderem auch benutzt, um Online-Kriminellen eine Anonymisierung ihrer Aktivitäten zu ermöglichen.

Die neue Mirai-Variante ist eine von mittlerweile Dutzenden, die in den letzten Monaten entstanden sind und um unzureichend abgesicherte IoT-Devices konkurrieren. Laut Brian Krebs ist die Schadsoftware recht klug programmiert: kaum hat sie sich über die Fernwartungs-Lücke eingenistet, schaltet sie dieses Feature komplett ab, um eine Säuberung des Gerätes durch den Hersteller und die Installation von Sicherheits-Updates zu verhindern. IT-Sicherheits-Experten vermuten, dass das so entstandene Botnet für kriminelle Dienste an Dritte vermietet werden soll. Die Betreiber haben allem Anschein nach ein großes und professionelles Cybercrime-Projekt im Sinn. So haben sie große IP-Adress-Bereiche für Mirai-Kontrollserver reserviert.

Nicht auf Schwächen der Gegenseite verlassen

Wie schon der Angriff auf DynDNS zeigt die aktuelle, vor allem die Telekom betreffende Attacke, dass dringend mehr für die Absicherung von IoT-Geräten getan werden muss. Im Falle von Routern, die fast immer über die Fernwartung aktualisiert und abgesichert werden, sind hier eindeutig die Hersteller in der Pflicht. Sie müssen Berichte über Sicherheitslücken künftig ernster nehmen und Schwachstellen zeitnah beheben.

Letztendlich war es pures Glück, dass der neue Wurm so schlampig programmiert war, dass er zu Abstürzen und Ausfällen führte. Statt einer diskreten Installation von Schadsoftware und der anschließenden Übernahme der Geräte kam es so zu einer großflächigen Störung, die die Telekom und die IT-Sicherheits-Branche auf die Problematik aufmerksam machte. Obwohl der zeitweise Ausfall von Internet und Telefon für die Betroffenen zweifellos ärgerlich war, wurde so auf längere Sicht Schlimmeres verhindert. Hunderttausende Router in der Hand von IT-Kriminellen hätten zweifellos ein ungleich größeres destruktives Potential gehabt.

Da wir uns zweifellos nicht immer darauf verlassen können, dass der Gegenseite derartige Fehler passieren, ist es an der Zeit, das Sicherheits-Niveau in diesem Bereich deutlich zu verbessern. Noch immer wird im Bereich IoT der Sicherheit oftmals nur eine untergeordnete Bedeutung eingeräumt. Die aktuellen Angriffe zeigen, dass wir uns das nicht mehr leisten können. Es ist auch in diesem Bereich an der Zeit für tragfähige Sicherheitskonzepte und deren konsequente Umsetzung. Anderenfalls wird der nächste Angriff womöglich weiter reichende Folgen haben.


Image “security” by pixelcreatures (CC0 Public Domain)


Schlagwörter: , , , , , , , , , ,
Annika Kremer

Annika Kremer

schreibt regelmäßig über Netzpolitik und Netzaktivismus. Sie interessiert sich nicht nur für die Technik als solche, sondern vor allem dafür, wie diese genutzt wird und wie sie sich auf die Gesellschaft auswirkt.

More Posts - Website - Twitter - Facebook - Google Plus