Vorgestern fielen rund 900'000 Router von Kunden der Deutschen Telekom teilweise aus. Anfänglich ging man davon aus, dass der Grund ein fehlgeschlagener Versuch war, diese Router mittels einer Variante der Mirai-Malware für ein riesiges Botnetz zu rekrutieren. Als Eintrittstür für die Infektion wurde der "Port 7547" identifiziert. Dieser Port steht global bei sehr vielen Routern offen, nicht nur bei Telekom-Routern. Auch wir von inside-it.ch haben einen offenen Port 7547 auf unserem Swisscom-Router gefunden – Mehr dazu weiter unten.

Zuerst zurück nach Deutschland. Wie der Security-Experte Ralf-Philipp Weinmann mittlerweile überzeugend dargelegt hat.

Die Mirai-Variante nützt nämlich zur Infektion von Routern eine Schwachstelle aus, die nur in Geräten vorhanden sein kann, die ein Linux-basiertes Betriebssystem verwenden. Die betroffenen Telekom-Router verwenden aber nicht Linux, sondern ein vom Hersteller selbst entwickeltes Betriebssystem. Damit waren sie also gar nicht das eigentliche Ziel des Mirai-Angriffs, sondern wurden sozusagen als unschuldige Opfer in Mitleidenschaft gezogen.

Voraussetzung, dass die genannte Schwachstelle genützt werden kann, ist zudem, dass der Port 7547 offen über das Internet erreichbar ist und über das Protokoll TR-069 angesprochen werden kann. Letzteres benützen viele ISPs zur Fernwartung ihrer Geräte. Betont werden muss auch, dass nicht alle Router mit Linux und offenem Port 7547 die Sicherheitslücke aufweisen.

Aber es scheinen leider doch ziemlich viele zu sein. Laut dem SANS Internet Storm Center existieren global rund 40 Millionen Geräte, die über einen offenen Port 7547 ins Internet lauschen. Das SANS ISC schätzt, dass durch den aktuellen Mirai-Angriff rund ein bis zwei Millionen davon geknackt wurden und nun Teil von Mirai-Botnetzen sind. Mit Mirai infizierte Geräte beginnen sofort damit, selbst nach weiteren potentiellen Opfern Ausschau zu halten. Dies dürfte auch der Grund dafür sein, dass, wie 'heise.de' berichtet, gegenwärtig "alle Systeme im Internet im Minutentakt mit TR-069-Anfragen auf Port 7547 bombardiert" werden.

Aber was hat die Telekom-Router, die nicht anfällig auf die Infektion sind, lahmgelegt? Laut Weinmann war es eine Art DOS-Effekt. Bei diesen Routern steht der Port 7547 zwar auch offen, aber auf einen Mirai-Kontaktversuch reagieren sie mit einer Fehlermeldung. Sonst passiert nichts. Als er sein Testgerät aber mit vielen solchen Anfragen in kurzer Zeit konfrontierte, begann es zuerst, langsamer zu werden, und akzeptierte schliesslich gar keine TCP-Verbindungen mehr.

Wie anfänglich erwähnt, haben wir auf unserem eigenen Swisscom-Router einen offenen Port 7547 gefunden. Ausserdem hat er ein Linux-basiertes OS. Wir gehen davon aus, dass solche Geräte auch bei manchen anderen Kunden im Einsatz stehen dürften. Daher haben wir bei Swisscom nachgefragt, ob auch Swisscom-Router die Schwachstelle aufweisen könnten, die Mirai gegenwärtig ausnützt.

Aus der Antwort von Swisscom-Sprecher Armin Schädeli geht hervor, dass dies nicht ganz auszuschliessen, aber der Meinung von Swisscom nach unwahrscheinlich ist. "Nach der weltweiten Attacke auf DSL-Router, der bei der Deutschen Telekom 900'000 Anschlüsse lahmlegte, hat Swisscom abgeklärt, ob auch Kunden unseres Unternehmens betroffen sind," so Schädeli. "Wir haben keine Hinweise, dass auch Kunden von uns betroffen sind. Es liegen weder Störungsmeldungen vor, noch ergaben Tests und Analysen entsprechende Resultate. Potenziell von der Attacke betroffen, wären gemäss aktuellem Kenntnisstand ohnehin nur ältere Router, welche nicht über die entsprechende Schutzsoftware verfügen."

Bei unserem Router handle es sich um ein altes Legacy-Gerät, so Schädeli, dass nur noch bei wenigen Kunden im Einsatz sei. "Um festzustellen, ob diese Geräte tatsächlich auch verwundbar sind, führen wir aktuell noch letzte Tests durch. Wir gehen zurzeit davon aus, dass die Geräte nicht verwundbar sind, da wir keine Indizien in diese Richtung durch unsere Sensoren im Netz haben. Sollten wir noch verwundbare Router entdecken, würden die betroffenen Kunden von uns angeschrieben." (Hans Jörg Maron)