Nicht nur die Router von knapp einer Million Kunden der Telekom sind von einem weltweiten Angriff auf ihren Port 7547 betroffen, über den normalerweise die Fernwartung läuft. Dabei soll offenbar eine schon bekannte Schwachstelle im Fernwartungsprotokoll TR-069 ausgenutzt werden.

Zu diesem Angriff hat das Internet Storm Center des SANS-Instituts alle bisher öffentlich verfügbaren Informationen zusammengetragen. Es sieht alles danach aus, als handele es sich um eine Variation der TR-069-Lücke, die schon vor zwei Jahren von CheckPoint veröffentlicht worden worden ist. 2014 hatten deutsche Provider, darunter auch die Telekom, ihre Netze für sicher erklärt.

Man vermutet, dass die Angreifer versuchen, die angegriffenen Router in ein Mirai-ähnliches IoT-Botnetz einzubinden, während die Telekom als Gegenmaßnahme den Port 7547 blockiert. Die Zahl der gestörten Internetzugänge ist inzwischen rückläufig, meldet die Deutsche Telekom.

Wichtig für die Übernahme eines Softwareupdates der Telekom ist es, daß ein betroffener Router kurz vom Stromnetz getrennt wird, um ihm dadurch die Möglichkeit zu geben, beim Neustart nach Wiederanschluss eine geänderte Firmware zu laden.