Check Point Forscher entdecken schwerwiegende ISP-Schwachstellen in Fernwartung TR-069 Protokoll

Check Point-Forscher entdecken ISP-Schwachstellen, die Hacker zur Übernahme von Millionen Internet- und Wi-Fi-Verbrauchergeräten nutzen können

  • ISP-Schwachstellen könnten Hacker zur Übernahme von Millionen Internet- und Wi-Fi-Verbrauchergeräten nutzen
  • Böswillige Exploitation würde zu massiven Malware-Infektionen, illegaler Massen-Überwachung sowie Verletzungen der Privatsphäre und/oder Dienstunterbrechungen, einschließlich der Deaktivierung eines ISP-Internetdienstes führen

Check Point Software Technologies veröffentlichte ihre Ergebnisse zu den Sicherheitsbedenken beim Einsatz des „CPE WAN“-Management-Protokolls (CWMP/TR-069, meist über Router Port 7547), das weltweit von den wichtigsten Internet Service Providern (ISPs) zur Kontrolle von Interneteinrichtungen wie Wi-Fi-Routern, VoIP-Telefonen und anderen Geräten von Unternehmen und Verbraucherhaushalten genutzt wird.

Forscher der Check Point Malware- und Schwachstellenforschungsgruppe entdeckten eine Reihe kritischer Zero-Day-Schwachstellen, die durch Fehler in mehreren TR-069-Server-Implementierungen Millionen von Haushalten und Unternehmen weltweit gefährden können. Einmal manipuliert, führt die böswillige Exploitation zu massiven Störungen, Malware-Infektionen, illegaler Massen-Überwachung sowie Verletzungen der Privatsphäre und/oder Dienstunterbrechungen, einschließlich der Deaktivierung eines ISP-Internetdienstes. Zudem können Personen- und Finanzdaten zahlreicher Unternehmen und Verbraucher gestohlen werden.

In einer weiteren Analyse wurde eine alarmierende Anzahl unsicherer, für eine Fernübernahme anfälliger ISPs entdeckt. Check Point hat alle entdeckten Schwachstellen an die Provider wie Telekom, Kabel Deutschland oder Vodafone, etc… gemeldet.

Alert-Alarm

Die wichtigsten Erkenntnisse:

  • Bleibt ein Angreifer unentdeckt, kann er die Kontrolle über Millionen von Internetgeräten in aller Welt übernehmen und somit in der Lage, Personen- und Finanzdaten von Unternehmen und Verbrauchern stehlen.
  • Viele TR-069-Deployments enthalten gravierende Sicherheitsschwächen. Check Point fordert ISPs und andere Provider, die dieses Protokoll nutzen, dazu auf, ihre Sicherheitslage sofort zu überprüfen.
  • Kunden mit der Check Point Intrusion Prevention System (IPS) Software-Blade haben die Schutzvorkehrungen für die aufgedeckten Schwachstellen automatisch erhalten.

Ihre TR-069-Forschungsergebnisse stellte Check Point am 9. August 2014 auf der DEF CON 22 in Las Vegas vor. Die Session mit dem Titel „I Hunt TR-069 Admins: Pwning ISPs Like a Boss“ wurde von Shahar Tal, Vulnerability Research Team Leader bei Check Point, geleitet. (Check Point Software Technologies)

https://www.defcon.org/html/defcon-22/dc-22-speakers.html#Tal