5
Port 7547 SOAP Remote Code Execution Attack Against DSL Modems Internet Storm Center
Das scheint der Hintergrund der aktuellen Attacken zu sein.
Ein paar backticks scheinen zu reichen, um das Ganze durch eine /bin/sh zu jagen und damit eine Remote Code Execution zu erreichen.
lks
https://isc.sans.edu/forums/diary/Port+7547+SOAP+Remote+Code+Execution+A ...
Ein paar backticks scheinen zu reichen, um das Ganze durch eine /bin/sh zu jagen und damit eine Remote Code Execution zu erreichen.
lks
https://isc.sans.edu/forums/diary/Port+7547+SOAP+Remote+Code+Execution+A ...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 322329
Url: https://administrator.de/contentid/322329
Printed on: May 4, 2024 at 11:05 o'clock
5 Comments
Latest comment
Erinert mich doch sehr an die Shellshok Lücke :D
Gruß an die IT-Welt,
J Herbrich
Gruß an die IT-Welt,
J Herbrich
Vor ziemlich genau 10 Jahren (tatsächlich, im November 2006) musste die Telekom ebenfalls eingehend TCP-Ports sperren, weil Sicherheitslücken in den Speedports gefunden wurden.
Noja, das ist verglichen mit der aktuellen Attacke damals einfach pures Unvermögen gewesen: https://www.heise.de/security/meldung/T-Online-sperrt-TCP-Port-8085-1457 ...
Noja, das ist verglichen mit der aktuellen Attacke damals einfach pures Unvermögen gewesen: https://www.heise.de/security/meldung/T-Online-sperrt-TCP-Port-8085-1457 ...
das ist schon ne schräge nummer...
aktueller recherchestand meinerseits:
botnet (mirai) nutzt eine seit min. anfang november bekannte lücke in der das protokoll tr-064 (upnp) im wan (!) auf port 7547 auf ca. 30% der speedports erreichbar ist um damit ca. 1 mio. router zu kapern.
durch einen blöden fehler in der dns konfiguration der attacke gehen die kisten offline, die sache fliegt auf und die telekom hat die chance die lücke zu stopfen.
hätten die jungs mal besser getestet oder den angriff besser überwacht oder weniger geraucht, wären nun 1 mio. bots mehr bei der nächsten ddos attacke am start.
schöne bestätigung für meine chronische paranoia, die mich upnp immer deaktivieren lässt, ausser der kunde kann sagen, wofür er es braucht...
nein, es war offenbar nicht tr-069, das ich genauso hasse, weil ich dadurch morgens nie weiss, ob meine router noch alle konfigurierten funktionen haben...
lg
buc
aktueller recherchestand meinerseits:
botnet (mirai) nutzt eine seit min. anfang november bekannte lücke in der das protokoll tr-064 (upnp) im wan (!) auf port 7547 auf ca. 30% der speedports erreichbar ist um damit ca. 1 mio. router zu kapern.
durch einen blöden fehler in der dns konfiguration der attacke gehen die kisten offline, die sache fliegt auf und die telekom hat die chance die lücke zu stopfen.
hätten die jungs mal besser getestet oder den angriff besser überwacht oder weniger geraucht, wären nun 1 mio. bots mehr bei der nächsten ddos attacke am start.
schöne bestätigung für meine chronische paranoia, die mich upnp immer deaktivieren lässt, ausser der kunde kann sagen, wofür er es braucht...
nein, es war offenbar nicht tr-069, das ich genauso hasse, weil ich dadurch morgens nie weiss, ob meine router noch alle konfigurierten funktionen haben...
lg
buc
1
Ich habe UpnP immer aus.
Gruß an die IT-Welt,
J Herbrich
Gruß an die IT-Welt,
J Herbrich
TR-069 != UPnP...
