01.12.2016 17:01

Port 7547 in Österreich

In der Zeit seit meinem letzten Blogpost zu Mirai/TR-069 sind ein paar neue Informationen dazugekommen:

• Jemand hat den Mirai Botnet Code so angepasst, dass Mirai auch eine Schwachstelle in der Implementation der Fernwartungsprotokolle TR-064 und TR-069 von diversen DSL/Kabel-Modems ausnutzen kann, um sich weiterzuverbreiten.
• In Deutschland hat es viele Telekom-Kunden erwischt: inzwischen ist aber klar, dass die betroffenen CPEs gar nicht Mirai-infiziert waren, sondern dass diese das Scannen auf Port 7547 nicht ausgehalten haben und es so zu den Ausfällen gekommen ist.
• International wurden uns durchaus schon Infektionswellen gemeldet. Dabei dürften Zyxel AMG1202, AMG1302 und P-660H beteiligt sein. Welche Firmware-Versionen relevant sind, wissen wir nicht.
• Neben Port 7547 wird auch der Port 5555 gescannt. Manche Geräte/ISPs verwenden diesen Port für TR-069.
• Wir stehen im Kontakt mit den österreichischen ISPs. Nach unseren vorläufigen Erkenntnissen gibt es keine Masseninfektionen durch diese Schadsoftware in Österreich.
• Es gibt Berichte, dass auch aus Österreich Scan-Aktivitäten in Richtung Port 7547 beobachtet werden. Das kann gut Mirai sein, die Infektion muss aber nicht notwendigerweise auch über genau diesen Exploit passiert sein.

Shodan testet schon länger das ganze Internet auf erreichbare Dienste, u.A. auch TR-069 auf Port 7547. Uns wurde das Ergebnis einer Abfrage bei Shodan für "Österreich und Port 7547" zugespielt (danke!). Hier ist eine Zusammenfassung der Erkenntnisse:

In Summe meldet Shodan aktuell 52.314 IP-Adressen in AT, die auf Port 7547 auf Webanfragen antworten. Das dürfte fast alles TR-069 sein. Shodan testet nicht alles an einem Tag durch, sondern benötigt Wochen für seine Scans. Es kann daher sein, dass die dynamische Vergabe von IP-Adressen dieses Ergebnis verzerrt.

Wichtig ist weiters hier anzumerken, dass Shodan erreichbare Server meldet, aber nicht zwischen verwundbaren bzw. sicheren unterscheidet.

Wie verteilen sich die IP-Adressen auf ISPs? Rund 48.000 (also rund 92%) sind bei einem ISP, ein weiterer hat rund 3.300 (6%), der nächste hat schon nur noch 150 erreichbare TR-069 IP-Adressen. In Summe werden IP-Adressen aus 52 Autonomen Systemen (ISPs) gemeldet.

Diese Zahlen sind zu klein, als dass alle Kunden eines der ISPs betroffen sein könnten. Andererseits sind sie zu hoch, als dass man sie durch vom Kunden selbst gekaufte Modems erklären könnte. Ich gehen also davon aus, dass manche Chargen von CPEs, die in den letzten 15 Jahren an die Kunden verschickt wurden, den Management-Port nach außen offen haben. Ob diese providerseitig mit neuer Firmware/Konfiguration ausgestattet werden können, ist leider fraglich. Gerade dafür würde man ja TR-069 im Management-Netz brauchen.

Welche Modems sind denn das?

In den Shodan-Daten sind die HTTP-Header enthalten. Dort gibt es zwei Felder, die Aufschluss über das Gerät geben können (aber nicht müssen). Manche TR-069 Implementationen schicken einen "Server:" Header mit. Das ist bei 511 IP-Adressen der Fall gewesen. Mehr als ein mal sehen wir:

Andere TR-069 Implementationen schicken im Authentication-Realm die Information mit, was sie für ein Gerät sind. Hier liefern rund 19.000 IP-Adressen keine sinnvolle Information, die anderen ergeben folgendes Bild:

Das sind also fast ausschließlich Thomson CPEs.

Weitere Links:

• 360.com
• SANS
• Comsecuris
• Deutsche Telekom

Autor: Otmar Lendl