[Info] [Update] Telefonie-Missbrauch (anscheinend doch) Massenhack von AVMs Fritzboxen

Status
Für weitere Antworten geschlossen.
..., sich wie eine nicht gefixte Fritzbox verhält?
OK, aber weiß man das so genau was man dafür benötigt, damit der Rechner sich wie eine nicht gefixte FritzBox verhalten soll und wie man diesen Rechner auch ausreichend absichert?
 
also diese PHP Angriffe mit php-cgi habe ich auf meinen Dedicatet Server in den Error loggs andauernd. was mir zzt aufgefallen ist, das mein DNS Server dauernd mit AAA und MX Syncflood bombardiert wird.
die Ip berreiche kommen von : Alice Dialin DSL, Kabel Deutschland und UnityMedia.

Alice Dialin DSL versucht bei mir die üblichen Injections dazu.

Auf anschreiben der Provider :
Was ist passuiert? welche IP welche Uhrzeit usw.

mit angehängten Loggs


bekomme ich als Antwort:
Bitte Senden sie uns folgendes : wann, welche Uhrzeit, Datum, loggs

WTF ?

bei Alice Abuse nada
 
Welche zusätzliche Erkenntnisse bekommt man, wenn man die HTTPS-Verbindung annimmt?

Wenn man die Verbindung annimmt, bekommt man den HTTP Request. Sofern der Angreifer nach Fritz Boxen sucht, was nicht zwangsläufig der Fall ist, bekommt man eine Anfrage, mit der er auf die Box zugreifen will. Also die URL und ggf. Parameter, die er aufruft. Wenn man Glück hat, ist es direkt der Aufruf, mit dem der Angreifer die Kontrolle über die Box bekommt. Schwieriger wird es, wenn der Angreifer erst einmal nur prüften will, ob überhaupt eine Fritzbox da ist und der eigentliche Angriff erst später kommt.

Das Beste wäre, einen SSL Proxy einzurichten, der die Verbindungen aus dem Internet annimmt und an die Box weiter leitet, und dabei sowohl Request als auch Antwort aufzeichnet. Die Box sollte dabei natürlich hinter einem Firewall stehen, mit dem sie keine Verbindung nach Außen aufbauen kann, insbesondere auch keine kostenpflichtigen Gespräche.
 
Du kannst dir auch einfach die key.pem von deiner fritz.box ziehen und die SSL Verbindungen im wireshshark entschlüsseln (solange kein dh key exchange verwendet wird).

Die scans kommen von unterschiedlichen dialin ipadressen, da für Angreifer vermtl. Ein Botnetz verwenden um zu scannen, was einige Vorteile für für Angreifer hat!
 
Eine ganz dumme Frage in die Runde betrifft die FB7390:
Ist nach dem Update die Funktion "reg_from_outside" noch möglich?
 
Zuletzt bearbeitet:
Zur Info: Das ist der Haken bei dem IP-Telefon LAN/WLAN --> Anmeldedaten: [x] Anmeldung aus dem Internet erlauben

Ja, bei meiner 7360SL FOS 6.03 und auch bei meiner 7270v2 FOS 6.04 BETA geht das noch.
 
Zuletzt bearbeitet:
Ich finde 20% nach nur drei Tagen ist eine sehr hohe Penetration.
Dagegen melden sich jetzt tatsächlich schon sehr viele, die die alten Versionen wiederhaben wollen, weil bei ihnen das Update nicht richtig gelaufen ist.
 
Hallo,
@Koy: stimmt, ist mir unbegreiflich ...:heul: ... Naja, eigenes Risiko.... :-Ö
 
Wieso? Die meisten, die nicht mal ein Update hinkriegen, haben auch gar keine Fernwartung eingerichtet.
 
Ich finde 20% nach nur drei Tagen ist eine sehr hohe Penetration.
Sehe ich auch so. Es handelt sich immerhin nicht um iOS6 mit irgendwelchen Schicken neues Funktionen :hipp:

Abgesehen davon, dass nicht jeder das Feature der Fernwartung nutzt; für viele dürfte es somit auch nicht interessant sein.
 
Bis zu diesem Hack war ich der Auffassung, die Box wird eher über das SIP Protokoll angegriffen.
Auf HTTPS wär ich nicht (so schnell) gekommen, es (HTTPS) hat bei mir eine "trügerische" Sicherheit impliziert.
 
Also ist das update wirklich nur bei Verwendung der Fernwartung nötig?
 
@koyaanisqatsi

Der Haken ist aber bei der 7170 nicht ...
 
Mach Update einfach oder lass es sein, dann aber ned beschweren.

Koy@ HTTPS ist doch sicher, deine Daten gehen verschlüsselt an Angreifer. ;) Der Webserver lässt sich nur zu verführen andere Dateien zugänglich zu machen.
 
@ sf3978:

... aber ich könnte es evtl. mit openssl (aus deinem Beitrag #387) probieren.

Hat Deine Recherche schon was ergeben ? Ich könnte heute abend einen ähnlichen Versuch starten.
Grüße,

JD.

Edit:

Mir kam just noch eine Idee ... vielleicht blöde, aber trotzdem: Kann ich nicht versuchen, Verbindungen auf Port 443 z.B. an einen RasPi mit z.B. Kali Linux im Netz durchzureichen und den Tip von RalfFriedl auf diese Weise halbwegs "sicher" umsetzen ?
 
Zuletzt bearbeitet:
@ koyaanisqatsi
... dann ist die FB über https angreifbar und sip wäre erstmal sicher?

@ Marcus F.
der Haken bezieht sich auf IP-Telefon LAN/WLAN und den gibt es bei der 7170 nicht, sondern es geht nur über reg_from_outside ...
 
Status
Für weitere Antworten geschlossen.

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,183
Beiträge
2,247,564
Mitglieder
373,729
Neuestes Mitglied
ChTh
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.