Hallo

Tippe auf den Supportzugang von der Telekom bei den Speedports, die geknackt sein könnten.

Das hat sich bestätigt: https://isc.sans.edu/forums/diary/Port+7547+SOAP+Remote+Code+Execution+Attack+Against+DSL+Modems/21759

tl;dr: die Telekom reicht Userdaten unescaped aus einer SOAP-Quelle weiter in die Shell. Do kann man mit Backticks dann remote code ausführen… facepalm

Wenn ich der Darstellung bei Heise glauben darf, sollten wir wohl sagen „Was ein Glück!“ ^[1]. Hätten die Router nicht diesen Kontextwechsel-Bug gehabt, wäre der weltweite Angriff auf Router wohl nicht einmal aufgefallen.

Bonmot am Rande (mit Hervorhebung von mir):

„Es sieht alles danach aus, als ob es sich um eine Variation der TR-069-Lücke handelt, die bereits 2014 von CheckPoint publik gemacht worden war. Zu diesem Zeitpunkt hatten deutsche Provider (darunter auch die Telekom) ihre Netze für sicher erklärt.“

Tschö, Auge