5
Port 7547 SOAP Remote Code Execution Attack Against DSL Modems Internet Storm Center
Das scheint der Hintergrund der aktuellen Attacken zu sein.
Ein paar backticks scheinen zu reichen, um das Ganze durch eine /bin/sh zu jagen und damit eine Remote Code Execution zu erreichen.
lks
https://isc.sans.edu/forums/diary/Port+7547+SOAP+Remote+Code+Execution+A ...
Ein paar backticks scheinen zu reichen, um das Ganze durch eine /bin/sh zu jagen und damit eine Remote Code Execution zu erreichen.
lks
https://isc.sans.edu/forums/diary/Port+7547+SOAP+Remote+Code+Execution+A ...
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 322329
Url: https://administrator.de/forum/port-7547-soap-remote-code-execution-attack-against-dsl-modems-internet-storm-center-322329.html
Ausgedruckt am: 21.04.2025 um 05:04 Uhr
5 Kommentare
Neuester Kommentar
Erinert mich doch sehr an die Shellshok Lücke :D
Gruß an die IT-Welt,
J Herbrich
Gruß an die IT-Welt,
J Herbrich
Vor ziemlich genau 10 Jahren (tatsächlich, im November 2006) musste die Telekom ebenfalls eingehend TCP-Ports sperren, weil Sicherheitslücken in den Speedports gefunden wurden.
Noja, das ist verglichen mit der aktuellen Attacke damals einfach pures Unvermögen gewesen: https://www.heise.de/security/meldung/T-Online-sperrt-TCP-Port-8085-1457 ...
Noja, das ist verglichen mit der aktuellen Attacke damals einfach pures Unvermögen gewesen: https://www.heise.de/security/meldung/T-Online-sperrt-TCP-Port-8085-1457 ...
das ist schon ne schräge nummer...
aktueller recherchestand meinerseits:
botnet (mirai) nutzt eine seit min. anfang november bekannte lücke in der das protokoll tr-064 (upnp) im wan (!) auf port 7547 auf ca. 30% der speedports erreichbar ist um damit ca. 1 mio. router zu kapern.
durch einen blöden fehler in der dns konfiguration der attacke gehen die kisten offline, die sache fliegt auf und die telekom hat die chance die lücke zu stopfen.
hätten die jungs mal besser getestet oder den angriff besser überwacht oder weniger geraucht, wären nun 1 mio. bots mehr bei der nächsten ddos attacke am start.
schöne bestätigung für meine chronische paranoia, die mich upnp immer deaktivieren lässt, ausser der kunde kann sagen, wofür er es braucht...
nein, es war offenbar nicht tr-069, das ich genauso hasse, weil ich dadurch morgens nie weiss, ob meine router noch alle konfigurierten funktionen haben...
lg
buc
aktueller recherchestand meinerseits:
botnet (mirai) nutzt eine seit min. anfang november bekannte lücke in der das protokoll tr-064 (upnp) im wan (!) auf port 7547 auf ca. 30% der speedports erreichbar ist um damit ca. 1 mio. router zu kapern.
durch einen blöden fehler in der dns konfiguration der attacke gehen die kisten offline, die sache fliegt auf und die telekom hat die chance die lücke zu stopfen.
hätten die jungs mal besser getestet oder den angriff besser überwacht oder weniger geraucht, wären nun 1 mio. bots mehr bei der nächsten ddos attacke am start.
schöne bestätigung für meine chronische paranoia, die mich upnp immer deaktivieren lässt, ausser der kunde kann sagen, wofür er es braucht...
nein, es war offenbar nicht tr-069, das ich genauso hasse, weil ich dadurch morgens nie weiss, ob meine router noch alle konfigurierten funktionen haben...
lg
buc
1
Ich habe UpnP immer aus.
Gruß an die IT-Welt,
J Herbrich
Gruß an die IT-Welt,
J Herbrich
TR-069 != UPnP...
