[Info] [Update] Telefonie-Missbrauch (anscheinend doch) Massenhack von AVMs Fritzboxen

Status
Für weitere Antworten geschlossen.
@ Kunterbunter:

D.h. Du meinst, daß ein Weg gefunden wurde, daß ein Admin-Account kein Paßwort benötigt ? Also das PW oder eher die PW "geblanked" wurde(n) ?
Wobei ein leeres PW nicht zum fehlgeschlagenen Anmeldeversuch von Karin paßt .
 
Zuletzt bearbeitet:
Das ist einer von vielen 100 oder noch Dunkelziffer!
 
Macht doch einfach mal ein diff der Firmware zwischen der Version 6.02 und der Version 6.03 von heute.
Die einzige Änderung ist die Umgehung der Authentifizierung. Vielleicht sieht man da das Masterpasswort. ;)
 
Das 6.03er für die 7490 ist schon wieder off
 
wo? wo? wo? die 7490er? wo? Hab ich Paranoia? Hab alle AVM Server durch ... http ... ftp ... nix!!! Hallo Falkland Islands! Hören Sie mich? Oder bin ich jetzt mit Sierra Leone verbunden?
 
ah, da ist noch jemand... was ein Glück... hast Du die 7490er? Ich versteh die Sprache am anderen Ende der Leitung nicht
 
<Paranoid> Wer in die FRITZ!DECT 200 Mikrophone einbaut, hat auch in seiner Firmware ein Masterpassword. Sonst würde die ganze kostenintensive Sache kein Sinn machen.
Wir „Alten“ kennen es schon aus PGP-Zeiten (Gouvernement-Key).
Seit Snowden sollte eigentlich jeder darüber nachdenken… *sorry*
</Paranoid>

Gruß Axim
 
Wozu der ganze Aufwand und Tamtam?

Wer überall selben Daten verwendet ist doch selbst schuld, diese Blödheit auch noch Hack nennen. :mrgreen:

Auch Dienst abschalten ist doch übertrieben, einfach die PWs ändern. Besser gleich Internet komplett entfernen, ist immer noch beste Schutz gegen Angriffe aus dem Netz.
 
Zuletzt bearbeitet von einem Moderator:
Bei uns wurde gestern nach 23 Uhr ein Angriff auf unsere Fritzbox 7390 durchgeführt. HTTPS-Internet-Zugang sowie myFritz waren aktiviert.

Aufgrund einer automatischen Limit-Warnung unseres VoIP-Providers wurde ich darauf aufmerksam. Nach Login im VoIP-Konto stellte ich hunderte von Telefonverbindungen nach Guinea/Afrika fest (Rufnummer 224796504591). Auf der Fritzbox waren aber keinerlei Daten verändert worden - keine neuen Telfongeräte, keine Rufumleitungen, etc, de nada. Auch keinerlei Log-Einträge bezüglich verdächtiger Aktivitäten. Gleichzeitig traf der AVM-Update Hinweis per Mail ein. Sofort Update der Fritzbox durchgeführt, was auch die illegalen Hacker-Telefonate kappte.

Insgesamt wurden von dem externen Angreifer 782 Telefonverbindungen innert 11 Minuten gestartet. Die Schadenssumme beläuft sich auf knapp 200 EUR.

Unsere Mac PC's waren jedoch nie durch Malware oder dergleichen infiziert Auch war die für die Anmeldung benötigte Fritzbox-E-Mail-Adresse nicht in der sicherheitstest.bsi.de Datenbank aufgeführt. Wie ist es also möglich, dass die Angreifer unsere Anmeldungsdaten (E-Mail sowie Passwort) kannten, um sich erfolgreich via Internet bei uns einzuloggen? Entweder kamen die Angreifer ohne Zugangsdaten hinein, oder sie habe sich diese auf unbekannte Weise via myfritz.net verschafft.

Wie auch immer, beunruhigend das Ganze...
 
Wozu der ganze Aufwand und Tamtam?

Aufwand und Tamtam muss gut überlegt und investiert sein.

Wenn du selbst mehr Aufwand betreiben würdest um dich auf den aktuellen Stand der Erkenntnis zu bringen, dann hättest du dir den Aufwand und das Tamtam für und in deinem Beitrag sparen können. :lol:
 
Hab auch nur gelesen hier oder den News und Rundmails, dass überall selben Email- und Passwortdaten verwendet wurden wohl. Selbst wenn ein Bug in der AVM FW ist, wie soll man damit im 1&1 CC damit die Sperre umgehen?

MyFritz soll auch nicht schuld sein, weil Angriffe wohl auch so erfolgen, also per Zufall auf die IPs.

Also die Infos sind teils ungenau. Auch AVM selbst gesteht in Ihrer Email nicht, dass die einen Bug bei der Authentifizierung vorhanden ist, welcher ausgenutzt wird.
 
Sperre von Rufnummerngassen für die 1&1 VoiP Nummern. ;)
 
Wie ist es also möglich, dass die Angreifer unsere Anmeldungsdaten (E-Mail sowie Passwort) kannten, um sich erfolgreich via Internet bei uns einzuloggen? Entweder kamen die Angreifer ohne Zugangsdaten hinein, oder sie habe sich diese auf unbekannte Weise via myfritz.net verschafft.

Die FB hat durch typische offene Ports eine Art „Fingerabdruck“ im Internet und ist so schnell zu finden. Mit einem Scan ins Blaue (bei einen deutschen Provider) kann man so mögliche FB finden und per Port 443 (SSL) meldet sie sich dann auch mit den Namen.
Mit eine noch nicht dokumentierten Weg (Masterpassword? :confused:) kann man dann am eigentlichen Login vorbei auf die Box gehen und als Admin die kriminellen Ideen realisieren. :mad:
Dies betrifft eventuell auch das Auslesen aller Passwörter, die auf der FB sind.
AVM hat fürs Wochenende ein Update versprochen. :boxer:

Gruß Axim
 
Zuletzt bearbeitet:
@HabNeFritzbox
Wurde eine derartige Sperre, falls überhaupt vorhanden, umgangen?
 
Weiß ich nicht, wurde aber irgendwo hier oder 1&1 Foum zumindest mal angesprochen, dass es möglich wäre, wenn Daten dort auch gleich sind.
 
Auf der Fritzbox waren aber keinerlei Daten verändert worden - keine neuen Telfongeräte, keine Rufumleitungen, etc, de nada. Auch keinerlei Log-Einträge bezüglich verdächtiger Aktivitäten. Gleichzeitig traf der AVM-Update Hinweis per Mail ein. Sofort Update der Fritzbox durchgeführt, was auch die illegalen Hacker-Telefonate kappte.
Das war wohl eher ein Zufall, wenn die Telefongespräche nicht über die Fritzbox geführt werden. Welcher VoIP-Provider hat die eine automatische Limit-Warnung geschickt?
 
Status
Für weitere Antworten geschlossen.
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.