Offener TCP-Port 7547 aus dem Internet

Hallo Telekom-Team,

wie ich selber bei meinem Speedport W723 Type B (Firmware Version: 1.32.000) überprüft habe, ist das Gerät über den TCP-Port 7547 weltweit aus dem Internet erreichbar.
Aus meiner Sicht ist das eine relevante Sicherheitslücke.
Können Sie mir bitte sagen, was dieser offene Port machen soll?
Und falls möglich fixen Sie das Problem durch ein Update der Software des Routers.

Aus meiner Sicht ist das eine relevante Sicherheitslücke.


Ein offener Port ist nicht direkt eine Sicherheitslücke.
Hättest du die Forumsuche oder das Internet befragt, hättest sicherlich auch schon herausgefunden, was dahinter steckt.

Zauberwort nennt sich TR-069.
Warum muss der Port weltweit aus dem Internet erreichbar sein. Falls er notwendig ist, warum hat man die Zugriffmöglichkeit nicht auf wenige relevante IP-Adressen aus dem Telekom-Netzwerk (über eine Filter-Liste auf dem Speedport) beschränkt?
Dann ist der Port doch immer noch offen.

Bei dem Speedport gab es aber eigentlich eine Funktion um den Easy Support abzuschalten.

Dann ist der Port doch immer noch offen.

Bei dem Speedport gab es aber eigentlich eine Funktion um den Easy Support abzuschalten.
Meinem Wissen nach darf ich den EasySupport nicht abschalten, wenn es sich um ein Leihgerät von der Telekom handelt.
Wenn der TCP-Port nur von den Management-Systemen der Telekom erreichbar wäre, dann wäre das schon wesentlich sicherer, da dann nicht die ganze Welt versuchen könnte irgendetwas auf dem Router zu machen. Jemand müsste ja nur das Default-Passwort für das TR-069 herausfinden und dann könnte er auf alle Speedport-Router zugreifen.
Eine Filter-Liste zum Schutz des Speedport-Routers wäre daher zumindest sehr sinnvoll.
Telekom hilft Team
Hallo dtzquasa,

ich denke, so einfach wird es nicht sein, über das TR-069 Protokoll auf den Router zuzugreifen und Änderungen vorzunehmen.

Wie das technisch genau von unserer Seite realisiert wird, weiß ich leider nicht im Detail. Ich werde mich erkundigen und mich hier wieder melden, soald ich Infos bekommen habe, Ok?

Bis dahin...
Matthias

Hallo dtzquasa,

ich denke, so einfach wird es nicht sein, über das TR-069 Protokoll auf den Router zuzugreifen und Änderungen vorzunehmen.

Wie das technisch genau von unserer Seite realisiert wird, weiß ich leider nicht im Detail. Ich werde mich erkundigen und mich hier wieder melden, soald ich Infos bekommen habe, Ok?

Bis dahin...
Matthias
Ich habe mir die Heise-URL (die UlrichZ netterweise hier gepostet hat) durchgelesen. Dort steht auf Seite 6:
"Die Verbindungsaufforderung, Connection Request, ist keine vollständige TR-069-Verbindung, sondern soll lediglich das CPE veranlassen, eine solche aufzubauen."

Kann ich davon ausgehen, dass über diesen offenen Port nur diese Connection-Requests zum CPE (Speedport-Router) gesendet werden können? Wie werden diese authentifiziert?

Grundsätzlich wäre es dennoch sinnvoll, nur bestimmten IP-Adressen den Zugriff auf diesen Port zu erlauben, um zu verhindern, dass ein Angreifer Software-Bugs auf dem CPE für einen Exploit ausnutzen kann.

Wenn Sie Informationen darüber haben, wie der Zugriff auf diesen Port abgesichert ist, dann können Sie das gerne hier schreiben.
Telekom hilft Team
Hallo dtzquasa,

Sie können davon ausgehen, dass "EasySupport" sicher ist.

Wenn Sie Informationen darüber haben, wie der Zugriff auf diesen Port abgesichert ist, dann können Sie das gerne hier schreiben.

Sobald ich eine Antwort auf meine Anfrage bekomme, melde ich mich hier, versprochen.

Bis dahin finden Sie hier ein bisschen was zum schmökern:

http://hilfe.telekom.de/hsp/cms/content/HSP/de/3370/FAQ/theme-45859527/Geraete-und-Zubehoer/theme-14...

Gruß Matthias
Telekom hilft Team
Hallo in die Runde,

hier mein versprochenes Feedback:

„Die Deutsche Telekom benutzt zur sicheren Fernwartung der Speedport Router das durch das Broadband Forum standardisierte Protokoll TR-069. Hierüber können z.B. Firmware Upgrades installiert, die Einrichtung der Geräte oder auch Fehlerdiagnosen vorgenommen werden, sofern der Kunde dies wünscht.

Um diese Funktionen verwenden zu können, ist eine mit Passwort gesicherte Anklopffunktion in den Speedport Routern erforderlich, die über das Internet -- bei aktuellen Speedport Routern auf Port 7547/tcp -- aktivierbar sein muss. Wird diese Funktion genutzt, dann kontaktiert der Speedport Router ausschließlich das Remote Device Management System der Deutschen Telekom. Ein direkter Zugriff auf Daten oder andere Funktionen des Speedport Routers über die Anklopffunktion ist nicht möglich. Dies ist im TR-069 Standard zudem auch nicht vorgesehen. Aufgrund des Passwort-Schutzes sowie weiterer Maßnahmen ist sicher gestellt, dass die Anklopffunktion nur vom Remote Device Management System der Deutschen Telekom aus aktiviert werden kann.

In der Kundenkommunikation bezeichnet die Deutsche Telekom ihr Remote Device Management als "Easy Support". Alle im Rahmen von Easy Support implementierten Funktionen, sowie die Verarbeitung der dafür notwendigen Daten werden vom Datenschutz und der Produktsicherheit der Deutschen Telekom streng geprüft und unterliegen den deutschen gesetzlichen Vorschriften. Eine Weiterleitung von Informationen an andere Firmen oder Organisationen findet nicht statt.“

Ich hoffe, damit sind alle Fragen geklärt und Sie haben wieder ein gutes, sicheres Gefühl bei der Nutzung Ihres Speedports.

Gruß Matthias
Danke für die Klärung. Das hört sich grundsätzlich relativ durchdacht an.
Dennoch habe ich kein 100% sicheres Gefühl.
Jeder offene Port ist ein unnötiges Risiko.
Durch einen Software-Bug auf dem Speedport-Router könnte es möglich sein (falls ein solcher Bug vorhanden ist), dass ein solcher offener Port für einen Angriff ausgenutzt werden könnte.
Noch sicherer wäre es daher, wenn der TCP-Port über eine Access-Liste geschützt wäre, welche die Verbindung nur von den Management-IP-Adressen der Telekom-Server erlaubt.
Telekom hilft Team
Hallo dtzquasa,

Sie haben recht, ein offener Port stellt immer ein gewisses Risiko dar. Letztlich werden aber immer einige Ports offen sein müssen, sonst ist die Funktionalität eines Routers nicht mehr gegeben. Sie möchten ja schließlich surfen, telefonieren, Dateien herunterladen, mailen, online spielen u.s.w.. Alle diese Dienste benötigen offene Ports und doch haben Sie keine Angst Mails zu verschicken, oder?

Wenn Sie ganz sicher sein möchten, müssen Sie auf Ihren Internetzugang verzichten.

Der Dienst EasySupport stellt sicher eines der geringsten Risiken dar, die im www auf Sie lauern. Wenn Sie mit dem offenen Port gar nicht leben können, sollten Sie sich ggf. für einen Router entscheiden, der nicht über eins unserer Endgeräteservicepakete gemanaged wird und den Dienst einfach abschalten.

Dann werden Sie aber auch nicht mehr automatisch mit Updates versorgt, was in meinen Augen ein viel größeres Sicherheitsrisiko darstellt.

Gruß Matthias
Da hatte doch der dtzquasa wohl recht. Na ja so ungerecht kann das Wissen sein.

Hallo,

 

wie wird nun den ganzen Speedport- Benutzern geholfen?
Es ist auch der Speedport W 723V Typ A betroffen!

Ich werde heute mir das Drama vor Ort ansehen müssen.


Es wird eine schnelle, detaillierte Stellungnahme aus meinem Bekanntenkreis gefordert !

Bitte!

PS: https://www.welt.de/wirtschaft/article159824524/Telekom-Router-sollten-Teil-von-weltweitem-Botnetz-w...

 


Hallo Matthias Bo. von der Telekom,
ja, was Sie hier vor zwei Jahren geschrieben haben, hat sich nun aktuell als SEHR GROSSER Fehler entpuppt !

Es war doch angeblich alles sicher mit dem offenen Port, oder ?
Warum kann die Telekom solche Hinweis und Warnungen von Leuten, die sich Gedanken machen und sich auskennen, nicht ernst nehmen, der Sache nachgehen und eine Lösung realisieren, anstatt abzuwiegeln a la alles "streng geprüft und unterliegen den deutschen gesetzlichen Vorschriften. " und ähnlichen unverbindlichen Telekom-Sprech-Blasen.

 

Und nun kann die Telekom nur froh sein, dass die Schadsoftware nicht perfekt war und nicht soviel Schaden angerichtet hat. Das ist aber NICHT das Verdienst der Telekom ! und wir waren trotzdem alle betroffen, weil W921 V Gerät.

Also nehmen Sie bitte geäußerte Bedenken in Zukunft gleich ernst und nicht erst zwei Jahre später, wenn das Kind in den Brunnen gefallen ist.

Danke und Gruß - Norbert

 

 

@Matthias Bo. schrieb:
Hallo in die Runde,

hier mein versprochenes Feedback:

„Die Deutsche Telekom benutzt zur sicheren Fernwartung der Speedport Router das durch das Broadband Forum standardisierte Protokoll TR-069. Hierüber können z.B. Firmware Upgrades installiert, die Einrichtung der Geräte oder auch Fehlerdiagnosen vorgenommen werden, sofern der Kunde dies wünscht.

Um diese Funktionen verwenden zu können, ist eine mit Passwort gesicherte Anklopffunktion in den Speedport Routern erforderlich, die über das Internet -- bei aktuellen Speedport Routern auf Port 7547/tcp -- aktivierbar sein muss. Wird diese Funktion genutzt, dann kontaktiert der Speedport Router ausschließlich das Remote Device Management System der Deutschen Telekom. Ein direkter Zugriff auf Daten oder andere Funktionen des Speedport Routers über die Anklopffunktion ist nicht möglich. Dies ist im TR-069 Standard zudem auch nicht vorgesehen. Aufgrund des Passwort-Schutzes sowie weiterer Maßnahmen ist sicher gestellt, dass die Anklopffunktion nur vom Remote Device Management System der Deutschen Telekom aus aktiviert werden kann.

In der Kundenkommunikation bezeichnet die Deutsche Telekom ihr Remote Device Management als "Easy Support". Alle im Rahmen von Easy Support implementierten Funktionen, sowie die Verarbeitung der dafür notwendigen Daten werden vom Datenschutz und der Produktsicherheit der Deutschen Telekom streng geprüft und unterliegen den deutschen gesetzlichen Vorschriften. Eine Weiterleitung von Informationen an andere Firmen oder Organisationen findet nicht statt.“

Ich hoffe, damit sind alle Fragen geklärt und Sie haben wieder ein gutes, sicheres Gefühl bei der Nutzung Ihres Speedports.

Gruß Matthias

 

Gelöschter Nutzer

Ich bin Telekom-Kunde und glücklicherweise - diesmal - mit meinem Speedport W724V nicht betroffen gewesen. Ich habe den Router selbst gekauft und deswegen auch sogleich "Easy Support" deaktiviert, um den entsprechenden Port für die Wartungsschnittstelle meines Routers zu schließen. Damit ist nun aber auch die WLAN TO GO Funktion des Speedport, die zwingend Easy Support benötigt, automatisch deaktiviert worden. Gekündigt habe ich diese noch nicht, aber nach meiner Information wird die Telekom diese nach einer gewissen Frist, in der kein WLAN TO GO Hotspot mehr über meinen Router aufgebaut werden konnte, automatisch kündigen.

 

Ich bitte die Telekom, jenseits von geschliffenen Mitteilungen aus der Pressestelle, um eine konkrete Stellungnahme, wie sie in Zukunft gedenkt mit diesem offenbar (!) bisher unterschätzten Problem der offenen Wartungsschnittstelle umzugehen.

 

Ich möchte ganz offen sein, für mich ist es ein Grund den Anbieter zu wechseln, wenn ich den Eindruck habe, dass man die komplexe Technik nicht vollends beherrscht. Diesen Eindruck, diesen Schuh muss sich die Telekom jetzt einfach anziehen, habe ich aufgrund dieses Fehlers. Mehr noch, lt. Berichten auf Nachrichtenseiten (zB Spiegel Online) soll der Angriff gar darauf beruht haben, dass die Wartungsschnittstelle der betroffenen Routermodelle nur mit einem Standardpasswort abgesichert war?! Sollte dies den Tatsachen entsprechen fehlen mir dazu schlicht die Worte.

 

Ich bitte nun konkret um Informationen dazu, wie nun mit "Easy Support" weiter verfahren wird und ob (und wie) man Kunden entgegen kommen kann, die "Easy Support" in Ermangelung von Vertrauen nun deaktivieren möchten, aber "WLAN TO GO" Bestandskunden sind. Ich hätte meinen Internetanschluss auch weiterhin gerne geteilt und möchte auch nicht selbst auf die Hotspot-Nutzung außer Haus verzichten müssen, die damit verbunden ist. Aber ich kann derzeit einfach nicht guten Gewissens "Easy Support" aktiviert lassen.


@Matthias Bo. schrieb:
Hallo dtzquasa,

Sie haben recht, ein offener Port stellt immer ein gewisses Risiko dar. Letztlich werden aber immer einige Ports offen sein müssen, sonst ist die Funktionalität eines Routers nicht mehr gegeben. Sie möchten ja schließlich surfen, telefonieren, Dateien herunterladen, mailen, online spielen u.s.w.. Alle diese Dienste benötigen offene Ports und doch haben Sie keine Angst Mails zu verschicken, oder?

Wenn Sie ganz sicher sein möchten, müssen Sie auf Ihren Internetzugang verzichten.

Der Dienst EasySupport stellt sicher eines der geringsten Risiken dar, die im www auf Sie lauern. Wenn Sie mit dem offenen Port gar nicht leben können, sollten Sie sich ggf. für einen Router entscheiden, der nicht über eins unserer Endgeräteservicepakete gemanaged wird und den Dienst einfach abschalten.

Dann werden Sie aber auch nicht mehr automatisch mit Updates versorgt, was in meinen Augen ein viel größeres Sicherheitsrisiko darstellt.

Gruß Matthias

Die Antwort war wohl ein bisschen arrogant. Zum Surfen, Mailen etc muss ich auf dem Router überhaupt keinen Port offen haben.  Das sollte man eigentlich wissen.  Und wie sich nun herausgestellt hat, war das ja wohl doch nicht so sicher. Dass da ein zweites Protokoll offen war, das spielt erstmal keine Rolle, dnen TR064 dürfte auf der WAN-Seite überhaupt nicht aufrufbar sein.

Hallo e.ric,

 

Es kam da wohl mehr zusammen.


Klar ist, die Antwort von Matthias Bo. war leicht daneben.

 

Aber, dass die Hersteller da doch mehr oder weniger gleiche Software einsetzen, das fällt nun auf. Denn sowohl der Zyxel Router der Eirecom, wie auch die Arcadyn-Router der Telekom haben beide an der WAN Seite neben dem Protokoll TR069 auch das Protokoll TR064 offen gehabt. Dieses ist aber weitaus unsicherer, weil das nur für den LAN-Einsatz gedacht ist und nicht für den EInsatz auf der WAN-Seite (Internet). Vermutlich haben beide Hersteller bei der gleichen Klitsche programmieren lassen.

 

Es gibt auch noch Gerüchte, dass da ein anderer Fehler passiert ist, der das erst ermöglichte. Ich denke aber, das wird sich rausstellen.  An Verschwörungstheorien beteilige ich mich nicht.

 

Ja, EasySupport muss aktiviert sein um Hot-Spot zu ermöglichen. Mir ist aber nur bedingt klar wozu. Da wird ein VLAN errichtet, das ist aber kein Geheimnis.

 

Andere Provider sind da noch deutlich unsicherer. Die schotten die Netze ja nicht mal richtig ab und bei denen kann die Einrichtung zum Teil nur mit TR069 erfolgen.

Hallo in die Runde,

alle Fragen, zum Angriff auf die Router von Telekom-Kunden, haben wir hier zusammengefasst:

https://www.telekom.com/de/medien/details/13-fragen-zu-angriff-auf-router-445088

Gruß
Matthias Bo.

Weil die oben genannte Telekom.com-Seite offenbar überlastet ist, schreibe ich mal hier meine Erfahrung mit dem angeblich "automatischen" Firmware-Update für meinen Router W921V:

 

Heute habe ich festgestellt, dass trotz wieder funktionierendem Telefon- und Internet-Zugang der Telekom-Router noch die alte Firmware 1.39 enthielt. Ich musste im Router-Menue das Update anstoßen, jetzt hat er Firmware 1.41 wie empfohlen.

Um das zu prüfen, muss man aber die vorher hilfsweise gemachte DNS-Umstellung im PC-Netzadapter rückgängig machen, sonst kommt eine Fehlermeldung beim Aufrufen des Router-Menues im Browser mit "speedport.ip". Also: zuerst wieder den Punkt bei "DNS-Serveradresse automatisch beziehen" aktivieren (8.8.4.4 verschwindet).

 

Dann in einem neuen Browser-Fenster die Adresse "speedport.ip" eintragen und aufrufen. Im aufgehenden Fenster des Routers links die zweite Zeile "Status-Informationen'" anklicken. Im neuen Fenster sollte oben bei Firmware-Version 1.41.000 erscheinen. Wenn nicht, muss man links die erste Zeile "Speedport-Login" anklicken und im neuen Fenster das Gerätepasswort eintragen. Unten "Login" anklicken, im neuen Fenster rechts oben "Einstellungen" anklicken, im neuen Fenster links "Firmware-Update" anklicken und dort "Auf Update prüfen" - und ggfs. 1.41 "installieren".

 


@Matthias Bo. schrieb:

alle Fragen, zum Angriff auf die Router von Telekom-Kunden, haben wir hier zusammengefasst

Vielleicht solltet Ihr Euch auch mal Gedanken machen, die Easy Support Funktion a) entweder endlich vernünftig zu machen oder b) komplett rauszuwerfen.

 

a) Easy Support hättet Ihr richtig gut machen können: Durch mehrfache Absicherung beim Verbindungsaufbau und bei der Authentifizierung, u.a. mit Access Rules (für das Quell-Netz der Telekom-Supportmitarbeiter) oder einem separaten Support-VLAN, zusätzlich einem Taster am Router, den der Kunde auf Anforderung drücken muss. Anstelle dessen habt Ihr Euch entschieden, es richtig schlecht zu machen, und tcp 7547 für das gesamte Internet freizugeben - als ob die Telekom Supportmitarbeiter weltweit verteilt in Call Centern sitzen und von dort direkt den TR-069 Verbindungsaufbau initiieren müssten. Und das habt Ihr leider auch nicht in Frage gestellt, als Ihr mehrfach auf diese Problematik hingewiesen worden seid. Eine aktuell wohl vorgenommene Filterung von tcp 7547 setzt an der falschen Stelle an und geht tendenziell in einer Richtung, die keiner haben will. Oder wird irgendwann auch http/https in Richtung der Kunden-IPs ausgefiltert, weil es Sicherheitslücken in Webcams gibt?

 

b) Der durch die Ausfälle entstandene Imageschaden dürfte für Euch ein Vielfaches dessen betragen, was Ihr durch Easy Support gespart habt. In Eurem Interesse und im Interesse Eurer Kunden solltet Ihr wenigstens jetzt Nägel mit Köpfen machen und die Funktion komplett rauswerfen. Ein automatisiertes Firmwareupdate geht auch ohne, wie z.B. AVM zeigt. Allen Mit-Kunden kann ich bis dahin nur empfehlen, Easy Support für den eigenen Account selbst abzuschalten. Und sich vielleicht auch zu überlegen, ob es denn das nächste Mal wirklich ein Speedport sein muss... Im Bereich der Anschlüsse seid Ihr Super, aber Router können die Hersteller selbst einfach besser.

Ich bin davon schlicht ausgegangen, dass das Support-Netz in irgendeiner Weise separiert ist und habe es leider jedoch auch selbst nicht kritisch hinerfragt, es gibt dort sicherlich mehrere Wege die schon gennant sind. Ich bin schließlich einfach entäuscht und erschrocken über die Verkettung von Dingen die dazu führte. 

 

Falls noch nicht verlinkt, der folgende Vortrag ist zum TR-069 ganz allgemein relativ interessant: https://www.youtube.com/watch?v=gFP5YcvQsKM