Linus Neumann
Und dass das damit irgendwie im Zusammenhang steckte. Und dann habe ich,
mir gedacht, na ja okay, dann schauen wir mal, was da so los ist. Und habe einfach mal äh mich auf die Suche gemacht, wie mir diese Sache mir diese Sache anzuschauen. Dann habe ich also eine
eine meiner IP-Adressen genommen, einen meiner Server und hab mal Netcat einen Listener aufgemacht auf diesem Port und hab geguckt, was denn da so vorbeikommt.
Und äh es kommt vorbei, also,
Ein harte TP Request, ja, ist ja erstmal würde man jetzt eigentlich nicht erwarten auf äh sieben, fünf, vier, sieben, doch würde man schon, erkläre ich aber gleich,
Es kommt vorbei, ein HTP Rick Fest ähm der eine Sophe Arti bedienen möchte, also eine äh eine API, über die man mit dem Server kommuniziert,
im Format XML
ja. Ähm ich versuche das jetzt mal gezielt ein bisschen einfach vereinfacht zu erklären. Also es kommt ein HT, ein ein HTP Riekfest vorbei, der sagt, ich übertrage dir hiermit folgende Daten, ich möchte einen Post machen,
Und dann kommt da folgt ja so ein bisschen XML so und so und dann kommt das Feld äh New and TP Server,
und in diesem Feld steht dann in in Backticks ein ein Bash Befehl. CD, TMP, WGT, HTTP, äh, C Hart sieben, sieben sieben und dann ausführen. Und dann.
Okay, ja, ich versuche das jetzt nochmal in Ruhe genau zu erklären. Also jemand ein Befehl kommt auf diesem Port und sagt, ich bin.
Ich möchte dir eine,
Ich möchte dir mitteilen, etwas zu tun. Das, was ich dir mitteile zu tun heißt, setze dir einen neuen NTP Server. NTP, Network Time, Protokoll,
ist quasi das, wo du, wo dein Router herbekommt, wie viel Uhr es ist. Ja? Also auch,
Unsere Computer, die hier so sitzen, man muss die Uhr ja nicht mehr stellen, die holen sich das von einem NTP-Server aus dem Internet, kriegen die gesagt, wie viel Uhr es ist. Also der Befehl, der hier stattfindet, will offenbar einen NTP Server setzen, bei dem, der ihn empfängt,
Ähm ein NTP Server würde man setzen anhand einer IP-Adresse oder anhand einer Domain, also was was man in diesem Feld erwarten würde, wäre entweder eine IP Vier Adresse, eine IP V sechs Adresse oder ein Host nehmen,
Also sowas wie was weiß ich. Time Punkt haste nicht gesehen Punkt com,
Was aber in diesem Feld steht, ist ein ähm also etwas ein Escapeter Befehl in,
In einer Schellsprache, nämlich gehe in ein Verzeichnis, lade dir in dieses Verzeichnis eine Datei herunter, mache diese Datei ausführbar und führe sie dann aus. Ja? So, was das.
Zeigt, ist, dass offenbar ein Angreifer.
Eine Sicherheitslücke ausnutzen möchte in einem auf einem Port,
Äh wo es eine schwache Schwäche gibt und das dann ausgeführt wird, was der Angreifer nämlich da,
geschrieben hat. Ich erkläre das deshalb so ausführlich, weil das nachher eine Rolle spielt. Ähm wenn man sich ein bisschen mit so Routern auseinandergesetzt hat und ich habe ja, bin ja ein bisschen tätig in dem Bereich
Ähm, dann weiß man das auf diesem Port ähm ein Protokoll üblicherweise lauscht mit dem Namen TR null sechs neun,
Und TR null sechs neun ist eigentlich eine eine ganz gute Idee. Viele Ideen sind ja eigentlich ganz gut. Ähm und zwar ist die Idee.
Dass du als Netzbetreiber jetzt deinen Kunden diese Route da hinstellst, ja? Und die,
Unter Umständen möchtest du ja Konfigurationsänderungen
an diesen Routern vornehmen. Du möchtest denen vielleicht ein Update pushen? Ähm du möchtest den vielleicht eine neue eine neue Zugangskennung geben ähm oder andere Konfigurationseinstellungen an den Router ändern.
Äh die du quasi als Dienst am Kunden machst.
Oder du möchtest denen beibringen ein zweites Netz aufzumachen, damit sie noch als Hotspots für dich funktionieren oder so. Also quasi der Managementzugang auf den Router von Seiten des Netzbetreibers.