2237663

Nach Telekom-Attacke: Firmware-Update für Speedport-Router installieren

30.11.2016 | 09:21 Uhr |

Bei den Telekom-Störungen vom Wochenende wurden anfällige DSL-Router aus der Speedport-Reihe attackiert. Für die betroffenen Modelle sind inzwischen Firmware-Updates erhältlich, die Sie auch manuell installieren können. So geht's.

Am 27. November ist es vor allem bei Kunden der Deutschen Telekom bundesweit zu Ausfällen der Versorgung mit Internet, Telefonie und IPTV („Entertain“) gekommen. Etwa 900.000 Anschlüsse sollen betroffen gewesen sein. Ursache war offenbar ein breit angelegter Angriff auf anfällige DSL-Router der Speedport-Reihe (Auftragshersteller: Arcadyan). Die Deutsche Telekom hat inzwischen Firmware-Updates für die betroffenen Modelle bereit gestellt. Diese sollen die Geräte automatisch beziehen, wenn man sie für etwa eine Minute vom Stromnetz trennt und dann wieder anschließt.

Dieses automatische Einspielen der korrigierten Firmware kann bei der Zahl der betroffenen Geräte ein paar Tage dauern. Wenn Sie Ihr Gerät vom Stromnetz getrennt und wieder angeschlossen haben, überprüfen Sie danach auf jeden Fall, ob das Update erfolgt ist. Rufen Sie dazu das Web-basierte Konfigurations-Tool auf. Geben Sie im Browser die Adresse „https://speedport.ip“ oder „http://speedport.ip“ ein. Normalerweise wird die Konfiguration über https aufgerufen, doch bei einigen Modellen ist das Sicherheitszertifikat bereits abgelaufen (ein neues gibt es nicht) und der Browser zeigt eine Warnung an. Diese Warnung können Sie ignorieren. Da Sie Ihr Gerät zu Hause im lokalen Netzwerk, am besten über eine Kabelverbindung statt über WLAN aufrufen, ist die sichere Verschlüsselung der Verbindung nicht ganz so wichtig.

Beispiel Speedport W 723V Typ B

Nachdem Sie Ihr Passwort eingegeben haben, rufen Sie den Menüpunkt „Laden und Sichern“ und dann „>> Firmware-Update“ auf. Dort wird das Gerätemodell und die momentan installierte Firmware-Version angezeigt (1) . Beim Speedport W 723V Typ B sollte nach dem erfolgreichen Update die Version 1.41 angezeigt werden. Hat Ihr Gerät eine niedrigere Nummer, ist es noch nicht aktualisiert. Sie können die neueste Firmware bei der Telekom herunter laden und selbst installieren. Folgen Sie dazu dem Link „Zur Internetseite“ (2) und laden Sie die Datei mit der für Ihr Gerät passenden Firmware herunter. Schließen Sie danach den Tab mit der Download-Seite.

Speedport W 723V Typ B Firmware-Update einspielen
Vergrößern Speedport W 723V Typ B Firmware-Update einspielen

Dann klicken Sie (immer noch auf der Seite „Laden und Sichern“ / „>> Firmware-Update“) unter „Schritt 2“ auf die Schaltfläche „Durchsuchen“ (3) und navigieren Sie zum Speicherort der zuvor heruntergeladenen Datei. Beim W 723V Typ B lautet der Dateiname „firmware-speedport-w723v-typb-1-41-000.bin“. Klicken Sie auf „Öffnen“ und auf der Konfigurationsseite dann auf „OK“. Die Firmware wird nun installiert. Nach Abschluss des Vorgangs sollte die neue Firmware-Version angezeigt werden. Während auf der Download-Seite der Telekom die Version als „1.41.000“ angegeben wird, lässt die Konfigurationsseite des Geräts die abschließenden Nullen weg („1.41“).

Bei den anderen Speedport-Modellen funktioniert das Update sinngemäß ähnlich. Die Website der Telekom hält Anleitungen als PDF-Datei bereit. Folgende Modelle sind laut Telekom betroffen und können per Firmware-Update abgesichert werden:

Speedport-Modell

neue Firmware-Version

Stand

W 921 V

1.41

11/2016

W 921 Fiber

2.41

11/2016

W 723V Typ B

1.41

11/2016

W 504V

1.20

11/2016

Entry

2.03

11/2016

Damit Ihr Speedport Firmware-Updates automatisch beziehen kann, muss in der Konfiguration unter „Hilfsmittel“ die Option „EasySupport“ eingeschaltet sein. Bei Mietgeräten ist dies standardmäßig der Fall und darf laut Vertrag mit der Telekom auch nicht geändert werden. Das ist, wie der jüngste Vorfall zeigt, ein zweischneidiges Schwert. EasySupport basiert auf dem Fernwartungsprotokoll TR-069 und öffnet den Port 7547 nach außen. Die Angriffe am letzten Wochenende erfolgten auf diesen Port, um eine seit 7. November bekannte Schwachstelle der Geräte auszunutzen.

Wahrscheinlich hat nur der Umstand, dass die Angreifer bei ihrer Attacke fehlerhaften Code benutzt haben, den gewünschten Erfolg, nämlich das Kapern der Router zwecks Eingliederung in ein Bot-Netz, verhindert. Durch das Ausschalten des Geräts wird der Schadcode aus dem Arbeitsspeicher des DSL-Routers entfernt. Deshalb funktionierte der Internet-Zugang danach wieder für eine Weile, bis der nächste Angriffsversuch den Router wieder überlastet hat. Die Deutsche Telekom filtert inzwischen Zugriffe auf den Port 7547 aus, deren Ursprung außerhalb des Telekom-Netzes liegt.

Bauähnliche Geräte anderer Provider können ebenfalls anfällig sein. Entdeckt wurde die ausgenutzte Schwachstelle bei Geräten des Typs D1000 eines irischen Providers, die vom taiwanesischen Hersteller Zyxel stammen. Das Internet Storm Center nennt außerdem Geräte mehrerer Hersteller, die beim britischen Provider TalkTalk eingesetzt werden.

0 Kommentare zu diesem Artikel
2237663