Aachener Experte deckt Schwachstelle im DSL-Netz von O2 auf
Unbefugte hätten dadurch auf Kosten von O2-Kunden mit VoIP-Anschlüssen telefonieren können. Sie benötigen dafür lediglich deren IPv4-Adresse. Laut O2 wurde die Lücke bislang nicht ausgenutzt. Eine weitere soll im Laufe des ersten Quartals 2016 vollständig geschlossen werden.
Der Aachener Sicherheitsforscher Hanno Heinrichs hat heute eine von ihm bereits im Herbst 2014 entdecktes aber bislang immer noch nicht vollständig behobenes Sicherheitsproblem im DSL-Netz von O2 öffentlich gemacht. Es handelt sich dabei um einen Fehler im Auto Configuration Server (ACS) des Providers. Er lässt sich von Unbefugten ausnutzen, um über Telefonanschlüsse der O2-Kunden zu telefonieren. Denkbar wären so auch Anrufe bei teuren Sonderrufnummern.
Details zu der Lücke und der denkbaren Angriffsmethode hat Heinrichs im Blog der Aachener Firma RedTeam Pentesting veröffentlicht. Ihm zufolge wurde der gravierendste Teil des Authentifizierungsproblems bereits behoben. So sei es jetzt nicht mehr möglich, sich die für den Zugang erforderlichen Daten von extern zu verschaffen. Allerdings könnte eine Malware oder ein Nutzer, der Zugang zum Netz des O2-Kunden hat, dort die VoIP-Zugangsdaten abrufen und dann missbräuchlich verwenden.
Komplett geschlossen werden soll die Schwachstelle DSL-Netz von O2 im Laufe des ersten Quartals 2016, wie das Unternehmen auf Anfrage von Heise Security mitgeteilt hat. Bis dahin werde man wie bisher durch “verschärftes Monitoring” dafür sorgen, dass auch künftig kein Missbrauch stattfindet. Ausgenutzt worden sei die Lücke bisher nicht.
Die Schwachstelle steckt in dem von O2 verwendeten Authentifizierungsprozess. Heinrichs entdeckte sie, als er versuchte, die Zugangsdaten herauszufinden die O2 – ebenso wie andere Provider die Kunden Router zur Verfügung stellen – nur ungern oder gar nicht herausgibt. Allerdings tauschen Authentifizierungsserver und CPE (also der Router beim O2-Kunden) diese Daten mittels TR-069, also einer Reihe von HTTP(S)-POST-Anfragen und -Antworten aus.
Der Authentifizierungsserver verließ sich dabei darauf, dass der Router in einem bestimmten Feld die eigene IP-Adresse übermittelt. Trug man dort die IP-Adresse eines anderen Kunden ein, was Heinrichs durch einen Client erreichte, der sich dem Server gegenüber als Fritz Box 7490 ausgab, wurden die eigenen Gespräche dem anderen O2-Kunden zugeordnet.