Hacker veröffentlicht 515.000 Telnet-Logins

Artikel ansehen

Ein DDoS-Botnetz-Betreiber hat eine umfangreiche Liste von 515.000 Telnet-Anmeldeinformationen veröffentlicht. Das Datenleck umfasst Kennwörter von Servern, Heimroutern und IoT-Geräten (Internet…

Was ich dabei überhaupt nicht verstehen kann, ist der Satz von dem IBM Security-Menschen:

Dies war eine Zero-Day-Sicherheitslücke, die man bisher nicht gemeldet hatte.

Häääh…hab ich da irgendwas verpasst, oder sind IBM-Mitarbeiter von Haus aus verwirrt?!? Telnet ist eins der ältesten Protokolle überhaupt und wurde schon 1969 im Rahmen des Projekts ARPANET (Advanced Research Projects Agency Network) entwickelt. Die Spezifikation erfolgte im Jahr 1973 im RFC 495.
Erweiterungen des Protokolls sind unter anderem in den Standards RFC 854 und RFC 855 zu finden. Es handelt sich um ein Client-Server-basiertes Protokoll, bei dem der ferngesteuerte Rechner als Server fungiert. Auf dem steuernden Rechner wird der Client ausgeführt. Clients sind in fast allen gängigen Betriebssystemen wie Windows, Linux, Unix oder macOS implementiert. Darüber hinaus existieren zahlreiche kommerzielle oder freie Clients wie der Open-Source-Client PuTTY. Der Begriff Telnet findet im IP-Umfeld nicht nur für das Protokoll, sondern auch für die Dienste der Server und Clients Verwendung.
Der Client startet den Verbindungsaufbau für eine Session mit dem Befehl „telnet“ gefolgt von dem Computernamen oder der Ziel-IP. Diese Verbindung erfolgt komplett unverschlüsselt im Normalfal über den Port 23.
Zu Diagnosezwecken ist es zum Beispiel möglich, mit einem Telnet-Client Verbindungen zu anderen IP-Diensten wie FTP, HTTP, POP3, SMTP etc. aufzubauen.
Sessions können plattformübergreifend zum Einsatz kommen. Nur wenige Systeme unterstützen den offiziellen Standard nicht. Es ist für eine Verbindung unerheblich, welches Betriebssystem Client und Server verwenden. Abhängig von den Berechtigungen ist prinzipiell der Zugriff auf sämtliche Ressourcen des entfernten Systems realisierbar.
Telnet ist ohne zusätzliche Maßnahmen ein unverschlüsseltes Protokoll und überträgt die Anmeldedaten sowie die Ein- und Ausgaben im Klartext. Damit sind Verbindungen unter Umständen durch Unbefugte abhörbar. Während das Risiko in lokalen Netzwerken überschaubar ist, stellen Verbindungen über das Internet deshalb ein Sicherheitsrisiko dar.

Auf Grund der vorab genannten Tatsachen gelten in der IT an sich seit mind. 30 Jahren die internen Vorgaben, Telnet als Protokoll nicht zu nutzen, es an Geräten in Netzwerken und dem Internet abzuschalten bzw. zu deaktivieren und wenn möglich, einfach aussen vor zu lassen! Ebenfalls aus diesen Gründen heraus wurde damals das SSH-Protokoll entwickelt. Es erlaubt ebenfalls den Verbindungsaufbau und die Übertragung von textbasierten Kommandos zu entfernten Rechnern, verwendet aber eine sichere Verschlüsselung. Der Open-Source-Client PuTTY beherrscht neben unverschlüsselten Sitzungen auch SSH.
Das Telnet als Protokoll mit den entsprechenden Ports selbst heutzutage noch genutzt wird von Herstellern geringpreisiger Hardware, wie z.B. Router, Switche, Kameras usw. ist eigentlich unverzeilich aus Sicht der Netzwerktechnik. IMHO ist das keine Zero-Day Sicherheitslücke, sondern ein von Haus aus gewolltes Risiko, um als Hersteller einige Cent pro Gerät sparen zu können!
Und dann den Überraschten spielen, nach dem Motto: Huch, wie kann denn sowas passieren, ist schon mehr als lächerlich !!!
:wink:

1 Like

" Aufgrund dieser Router-Sicherheitsanfälligkeit konnte ein Angreifer die Konfiguration des Routers über Telnet im lokalen Netzwerk (LAN) steuern und über das LAN oder das WAN (Wide Area Network) eine Verbindung zu einem FTP-Server (File Transfer Protocol) herstellen."

Vielleicht ist aber auch gemeint, dass man, aufgrund der erwähnten Sicherheitslücke, überhaupt erst auf die Telnet Schnittstelle der Geräte zugreifen konnte.

Ich kann ja manchmal lesen :wink: aber es erschliesst sich mir nicht die Aussage, der Zero-Day-Lücke !? Wenn das Telnet-Protokoll bei diesen betroffenen Geräten aktiv ist, ist das allerhöchstens eine Firmware - Voreinstellung, die einen direkten Zugriff möglich macht. Wenn Telnet nicht von Anfang an in der Grundeinstellung aktiviert wäre (was anscheinend der Fall ist!), wäre kein Zugang darüber möglich…Für eine Änderung müßte man noch nicht einmal die Firmware neu schreiben!
Ansonsten müßte man als Hersteller einfach mal das implimentierte Telnet-Protokoll als Möglichkeit aus der Firmware rauslassen, dann klappts auch mit der Sicherheit… :rofl:

Das Ciscomag schreibt folgendes dazu:

Die Sicherheit von Server- und Router-Passwörtern ist seit langem ein Thema der Cybersicherheit. Früher hatte die Archer-Router-Serie von TP-Link, die in der Lage ist, Hochgeschwindigkeits-Online-Verkehr zu verarbeiten, eine Schwachstelle, die, wenn sie ausgenutzt wird, Hackern die Möglichkeit bietet, die Admin-Kennwörter zu umgehen und die Kontrolle über die Geräte aus der Ferne zu übernehmen. Diese Schwachstelle, die als CVE-2019-7405 verfolgt wird, wurde zuerst in den TP-Link Archer C5 (v4)-Routern entdeckt.

Grzegorz Wypych, ein leitender Sicherheitsberater bei IBM X-Force Red, sagte: "Es handelte sich um einen Zero-Day-Fehler, der zuvor nicht gemeldet wurde und sowohl die private als auch die geschäftliche Umgebung beeinträchtigen könnte. Wenn diese Router-Schwachstelle ausgenutzt wurde, konnte ein entfernter Angreifer die Kontrolle über die Konfiguration des Routers über Telnet im lokalen Netzwerk (LAN) übernehmen und sich über das LAN oder das WAN mit einem FTP-Server (File Transfer Protocol) verbinden.

Danach kann es sich eigentlich nur noch darum handeln bei der nicht dokumentierten Lücke:

Die Schwachstelle konnte man ausnutzen, indem man einfach eine Zeichenfolge, die länger als die zulässige Anzahl von Bytes ist, über eine HTTP-Anforderung sendet. Dies wird auch als Passwortüberlauf bezeichnet. Die integrierte Validierung überprüft die HTTP-Header des Verweisenden. Dadurch wurden die TP-Link-Router zu der Annahme verleitet, dass es sich um eine gültige HTTP-Anforderung handelt. Das Kennwort wurde ungültig und durch einen leeren Wert ersetzt

Obwohl ein „Passwortüberlauf“ auch nichts anderes ist, wie ein Buffer Overflow, den man nunmal auch schon seit Jahrzehnten kennt!!
Also, ich kann das drehen, wie ich will. Diese Zero-Day Geschichte stinkt…!
:-1: :rofl:

Ja gut das ist natürlich ggf. Unsinn. Aber eigentlich meinte ich auch nicht, dass man durch die Sicherheitslücke direkt Telnet Zugang bekommt, sondern diesen nur durch die Sicherheitslücke (Man kommt z.B als Admin in den Router rein ohne korrekte Authentifizierung) aktivieren kann. Aber schon verwirrend formuliert irgendwie. Anders kann ich mir das „Zero-Day“ auch nicht erklären.

Joa wahrscheinlich.

1 Like

@VIP: Wieso ist der Herr von IBM verwirrt?! Klar ist das Telnet-Protokoll uralt, aber die Sicherheitslücke kann ja trotzdem neueren Datums sein. Das schließt sich ja nicht gegenseitig aus, oder?

Ich weiß ja nicht, ob du wirklich alles gelesen hast, was vor deinem Eintrag hier stand ?
Denn danach gibt es keine offizielle neue Lücke, die sind alle älterer Natur, wenn überhaupt. Was nun an dem ganzen Thema die Lücke seitens Aussage IBM sein soll, geht ja aus dem Text nicht hervor - deswegen auch die hier technische Betrachtung!
:wink:

Ja, da war in Deinem Posting plötzlich einiges anders.