Der Netzbetreiber O2 geriet zum Jahresstart mit negativen Schlagzeilen in die Kritik. Es geht um eine Sicherheitslücke im DSL-Netz. Diese könnten Angreifer theoretisch ausnutzen, um über die VoIP-Anschlüsse zahlreicher Kunden zu telefonieren oder teure Servicenummern in Anspruch zu nehmen.
Fehler im Konfigurationsserver
Bereits im Herbst 2014 wurde die Sicherheitslücke entdeckt. Der Aachener Sicherheitsforscher Hanno Heinrichs wies vor mehr als einem Jahr darauf hin, dass O2 daran arbeiten müsse, potentiellen Angreifern nicht mehr ungehindert Zugriff zu O2-Anschlüssen zu gewähren. Weil das Problem bis heute nicht behoben werden konnte, veröffentlichte Heinrichs seine Ergebnisse nun. Seiner Meinung nach liegt der Fehler im Auto Configuration Server (ACS) des Providers.
Als Heinrichs versuchte, die Zugangsdaten bei einem von O2 verwendeten Authentifizierungsprozess herauszufinden, stellte er fest, dass der Provider diese Daten zwar nur ungern oder überhaupt nicht herausgibt. Jedoch werden diese Daten unter Authentifizierungsserver und Router des Kunden mittels des TR-069-Protokolls durch eine Reihe an HTTP(S)-POST-Anfragen sowie -Antworten automatisch herausgegeben. Und genau hier steckt das Problem. Wenn diese Daten abgefangen können, kann damit allerhand Missbrauch betrieben werden.
Im Blog der Aachener Firma RedTeam Pentesting führt Heinrichs aus, wie der aktuelle zu diesem Problem Stand ist. Er betont, dass der gravierendste Teil des Authentifizierungsproblems mittlerweile zwar behoben sei. Momentan ist es nicht mehr möglich, sich die für den Zugang erforderlichen Daten extern zu beschaffen. Allerdings ist deswegen noch lange kein Aufatmen angesagt. Eine Malware oder ein Nutzer mit Zugang zum Netz von O2-Kunden könnte die VoIP-Zugangsdaten abrufen und für seine Zwecke missbrauchen.
o2 arbeitet an Sicherheitslücke
Wie der DSL-Betreiber O2 mitteilte, wolle man die Sicherheitslücke im Laufe des ersten Quartals 2016 endgültig schließen. Bis alle potentiellen Gefahren vollständig behoben seien, wolle man wie bisher durch „verschärftes Monitoring“ einen Missbrauch verhindern. Außerdem betonte der Konzern, dass diese Lücke bislang noch nicht ausgenutzt worden sei.
