Sicherheitslücke im AVM UPNP Dienst

DPR

Neuer User
Mitglied seit
2 Jul 2005
Beiträge
173
Punkte für Reaktionen
0
Punkte
0
Beschreibung:
Der UPNP Dienst von AVM für Windows, der Bestandteil der "Fritz!DSL Software 02.02.29" enthält eine Sicherheitslücke, mit der es möglich ist lesenden Zugriff auf sämtliche lokalen Dateien der System-Partition ohne Administrator-Rechte zu erhalten. Des Weiteren ist es damit möglich Lese-Zugriff auf sämtliche Dateien der System-Partitionen aller Rechner im LAN zu erhalten. Dazu gehören in der Regel alle Profil-Dateien.

Der Fehler tritt durch den im "AVM IGD CTRL Service" enthaltenen AR7 Web-Server auf. Da dieser unter dem lokal höchstprivilegierten System Account läuft, ist es selbst möglich kritische System-Dateien auszulesen.


Reproduktion:
Mit der URL im Format
http://IP-Adresse:49001/..%5C..%5C..%5CPfad kann auf Dateien von C: lesend zugegriffen werden. Der Backslash muss als %5C angegeben werden.


Beispiele:
http://localhost:49001/..%5C..%5C..%5Cwindows%5Csystem.ini
http://192.168.178.20:49001/..%5C..%5C..%5Cwindows%5Csystem.ini


Workaround:
- Deaktivieren des AVM UPNP Diensts "AVM IGD CTRL Service". Alternativ kann der Windows eigene UPNP Dienst aktiviert werden. Dadurch funktioniert UPNP trotzdem, lediglich die AVM Programme erkennen die Fritz!Box über UPNP nicht mehr.


Verweise:
Auch der AR7 Webserver auf der Fritz!Box selbst zeigt ein ähnliches Verhalten. So lassen sich alle Dateien im Verzeichnis /etc/default.Fritz_Box.../avm über URLs wie beispielsweise http://fritz.box:49000/vpn.cfg auslesen. Da es sich dabei jedoch nur um die default-Konfiguration handelt und URLs mit einem ".." nicht funktionieren, ist das Verhalten zwar unschön aber unkritisch.


Bis jetzt habe ich keine Möglichkeit gefunden über die Lücke im Windows-Dienst Code auszuführen oder schreibenden Zugriff zu erhalten.
 
Zuletzt bearbeitet:
Hallo DPR,

schon an AVM gemeldet? Wenn Nein, hättest du dies zuerst tun sollen bevor du den Fehler hier so ausführlich schilderst.

p7
 
prodigy7 schrieb:
schon an AVM gemeldet? Wenn Nein, hättest du dies zuerst tun sollen bevor du den Fehler hier so ausführlich schilderst.

Aus zweiter Hand weiß ich, dass dieser Bug bereits Mitte Dezember an AVM übermittelt wurde.

Prinzipiell muss ich aber sagen, dass ich nicht unbedingt der Politik folge, Sicherheitslücken geheim zu halten, bis der Hersteller diese gefixt hat. Das schadet den Usern mehr, weil es kriminellen Leuten die Möglichkeit gibt eben diese Lücken insgeheim auszunutzen. Da ich einen "Workaround" mitgeliefert habe, kann sich jeder User selbst helfen.

Abgesehen davon hat AVM damit genug Zeit gehabt auf diese Lücke zu reagieren, hat es aber nicht getan. Ausserdem habe ich auf den AVM Seiten keine Möglichkeit gefunden direkt mit dem Support per Mail in Kontakt zu treten.
 
stsoft schrieb:
ganz unten auf der Hauptseite, so wie es sich gehört für anständige Unternehmen: "Kontakt"

http://www.avm.de/de/Unternehmen/Adressen.html
Ich sehe dort nur Telefonnummern und die ganzen Web-Formulare für allgemeine Probleme mit der Fritz!Box. Selbst wenn man sich nervigerweise durch die Formulare "für die Probleme" durchklickert, landet man auf einer Seite die mit sicherheitskritischen Meldungen kaum etwas zu tun hat.

Eine direkte Möglichkeit an das AVM Security- / Entwickler-Team eine Nachricht zu verschicken findet sich dort momentan nicht.

Wie die Kontakt-Seite ganz oben selbst sagt:
"Fragen, Wünsche oder Anregungen - AVM hat für Ihr Anliegen immer ein offenes Ohr.
Wir freuen uns, von Ihnen zu hören!"

In keines der genannten Kategorien fällt eine Sicherheitslücke ... und sie als "Anregung" oder "Wunsch" zu verstehen wäre etwas weit hergeholt.


Aber darum geht es in diesem Beitrag nicht, diese Diskussion führt vom Thema weg.
 
Zuletzt bearbeitet:
Hallo DPR,

DPR schrieb:
Aus zweiter Hand weiß ich, dass dieser Bug bereits Mitte Dezember an AVM übermittelt wurde.
Hier stellt sich die Frage, wie wurde es an wen in welcher Form übermittelt?

DPR schrieb:
Prinzipiell muss ich aber sagen, dass ich nicht unbedingt der Politik folge, Sicherheitslücken geheim zu halten, bis der Hersteller diese gefixt hat. Das schadet den Usern mehr, weil es kriminellen Leuten die Möglichkeit gibt eben diese Lücken insgeheim auszunutzen. Da ich einen "Workaround" mitgeliefert habe, kann sich jeder User selbst helfen.
Ich bin auch ein Gegner, Sicherheitslücken geheim zu halten bis irgendwann man der Hersteller reagiert hat. Aber im Sinne der Fairness sollte man dem Hersteller eine angemessene Zeit geben, zu reagieren. Du hast den Fehler jetzt publik gemacht und Leute mit Know-How können ihn ausnutzen. Leute, die nicht jeden Tag dieses Forum lesen, kennen den Fehler nicht und entsprechend auch nicht den Workaround.

DPR schrieb:
Abgesehen davon hat AVM damit genug Zeit gehabt auf diese Lücke zu reagieren, hat es aber nicht getan. Ausserdem habe ich auf den AVM Seiten keine Möglichkeit gefunden direkt mit dem Support per Mail in Kontakt zu treten.
Wie gesagt: Kommt drauf an, ob der jenige der es gemeldet hat, auch sicher gestellt hat, das es bei AVM angekommen ist.

Bzgl. Kontakt: Ich habe damals gedacht, das wenn man sich im Webinterface angemeldet hat via Passwort, dieses für eine bestimmte Zeit Passwortfrei sei, weil keine Abfrage mehr kam, egal welchen Browser ich auf meinem Rechner geöffnet habe. Dementsprechend habe ich bei der AVM-Hotline das Problem geschildert und weil der Support nix damit anfangen konnte, wurde ich zu jemanden bei AVM weiterverbunden, der mehr Ahnung und zu sagen hatte. Nach dem ich das geschildert habe und meine Nr hinterlassen habe, hat er kurze Zeit später zurückgerufen und mir erklärt, dass nur die IP für einen Zeitraum freigeschaltet ist. Dieser Fall hat mir aber gezeigt, das man bei AVM schon ernst genommen wird.

Das Problem an E-Mail ist, dass die Hemmschwelle recht niedrig ist, diese zu schreiben. Entsprechend kommt auch viel Mist und dann ist es schwierig zu sieben - der persönliche Kontakt kann einem in gewissen Situationen weiter bringen.

p7

Posting 2:

Achso, noch eine Ergänzung: Nur weil du nicht die passende Kategorie gefunden hast, heißt es nicht, das es nicht einen Ansprechpartner gibt. Wenn ich bei einer Firma keine Telefonnummer finde, die zu meinen Belangen passt, ruf ich einfach irgendeine an und irgendwie kriegt man dann immer weitergeholfen.
 
Zuletzt bearbeitet von einem Moderator:
Workaround:
- Deaktivieren des AVM UPNP Diensts "AVM IGD CTRL Service". Alternativ kann der Windows eigene UPNP Dienst aktiviert werden. Dadurch funktioniert UPNP trotzdem, lediglich die AVM Programme erkennen die Fritz!Box über UPNP nicht mehr.

Zu meinem Verständnis:
Wenn ich das hier richtig verstehe, reicht es auch, die Fritz! SW gar nicht erst zu installieren, bzw im Sinne dieses Themas sie zu deinstallieren.


Verweise:
URLs wie beispielsweise http://fritz.box:49000/vpn.cfg auslesen.

ist ja hübsch, funktioniert :)
 
prodigy7 schrieb:
Hier stellt sich die Frage, wie wurde es an wen in welcher Form übermittelt?
Da AVM per Mail eine Antwort geschickt hat, ist davon auszugehen, dass das auch richtig angekommen ist.
Meine Kritik bleibt: AVM sollte das Melden von solchen Lücken vereinfachen. Ich telefoniere ganz sicher nicht in der Weltgeschichte rum, um so was zu melden. Schließlich werde ich von AVM nicht bezahlt, dass ich denen Support leiste. Womit ich dieses Thema auch beenden will.

smiley2 schrieb:
Zu meinem Verständnis:
Wenn ich das hier richtig verstehe, reicht es auch, die Fritz! SW gar nicht erst zu installieren, bzw im Sinne dieses Themas sie zu deinstallieren.
Das hast du richtig verstanden :) Die Sache mit dem Auslesen der Dateien von der Fritz!Box selbst lässt dich durch Deaktivieren von UPNP in der Fritz!Box "beheben". Wobei das wie gesagt - zumindest auf den ersten Blick - keine kritische Lücke ist.
 
@DPR: Danke für die ganzen Infos.
 
Wie war das, es reagiert niemand bei AVM?

Gesendet: 14:58 über das Homepage Kontaktformular, "Lob/Kritik":
Code:
Guten Tag,

unter der URL http://www.ip-phone-forum.de/showthread.php?t=125958 wurde
ein Fehler Ihrer Fritz!Box-Software gemeldet, welcher es ermöglicht, mit
Administrator-Rechten Dateien von einem Windows-PC herunterzuladen. Ich
konnte den dort beschriebenen Sachverhalt selber nachvollziehen und der
Fehler stellt eine große Sicherheitslücke dar.

Reaktion: 16:07
Code:
Sehr geehrter Herr xxxxxx,

diese Information ist nicht ganz korrekt. Denn die PC-Daten
sind nicht aus dem Internet auslesbar, nur von einem anderen
Rechner aus dem lokalen Netzwerk.
Aber hierzu wird es im nächsten FRITZ!DSL-Update eine Änderung
geben.

Mit freundlichen Grüßen

AVM GmbH
 
Ebenfalls DANKE für die angestoßene Klärung :D

Also - Adrenalin wieder auf Normalmaß herunterfahren ;)
 
prodigy7 schrieb:
Wie war das, es reagiert niemand bei AVM?
Wenn du mal genau lesen würdest, was ich geschrieben habe, würdest du solche Fragen nicht stellen - und hättest AVM den Sachverhalt auch anders geschildert.
Ich habe nie behauptet, dass AVM auf die Meldung nicht mit einer Antwort reagiert hat. Was ich aber gesagt habe ist, dass sie seit Mitte Dezember darüber Bescheid wissen und keinen Fix herausgebracht haben. Allgemein hat die Fritz!DSL Software mehr als 1 Jahr auf dem Buckel.

Wenn du gerne weiter darüber diskutieren willst, wie DU gerne Fehler an AVM übermittelst, mach dir deinen eigenen Beitrag auf und diskutiere das da. Da kannst du dann auch die Leute so lange anpflaumen wie du willst / der Moderator einschreitet.
Ich werde mich dazu jetzt nicht mehr äußern - habe alle relevanten Fakten und meinen Standpunkt mehr als deutlich dargelegt.
 
Habe das gerade gestern auch auf Full-Disclosure gelesen. Allerdings konnte ich den Fehler nicht Reproduzieren. Werde einen extra Beitrag dafür aufmachen ... sonst geht das vermutlich unter.
 
Ok, danke für den Hinweis :)
 
Wie hier http://www.ip-phone-forum.de/showthread.php?t=127026 beschrieben wird, hat AVM ein Update herausgebracht, das die Lücke provisorisch stopft. Provisorisch deswegen, weil der prinzipielle Zugriff nicht verhindert wird.

Legt man eine Datei "wwwtest.txt" unter "windows\system32" an, kann man mit der URL "http://IP-Adresse:49001/..%5Ctest.txt" nach wie vor aus dem gesamten LAN darauf zugreifen. Der "Trick" von AVM besteht darin, vor jede Abfrage "www" hinzuzufügen. Die Ursache wird mit diesem Update also nicht behoben.

Ausserdem ist nach wie vor die Option "Datenaustausch zwischen Dienst und Desktop zulassen" für den AVM IGD Ctrl Dienst aktiviert. Diese birgt nach wie vor potentielle Angriffsflächen, die es ermöglichen lokal System-Rechte zu erlangen.
 
prodigy7 schrieb:
Aber im Sinne der Fairness sollte man dem Hersteller eine angemessene Zeit geben, zu reagieren.

Von wegen Fairness, sind wir hier beim Sport?

Ich habe leider zu wenig Ahnung von dem ganzen. Bspw. habe ich bei meiner 7170 lediglich

Statusinformationen über UPnP übertragen (empfohlen)

erlaubt, damit ich das Fritzbox Reconnect Tool nutzen kann, ich habe für die Box nämlich keinerlei Software installiert. Bin ich nun von außen angreifbar? Ich dacht, diese Einstellung für nur für lokal angeschlossene Rechner gelten?

In finde es richtig, daß DPR es sofort bekannt gemacht hat, dann kann ich nämlich notfalls meinen Laden umgehend dichtmachen und hab nicht 6 Monate nen Scheuenentor offen, das irgendwer, der es vorher schon wußte, ausnutzen konnte.
 
Aus zweiter Hand weiß ich, dass dieser Bug bereits Mitte Dezember an AVM übermittelt wurde.
Meine Kritik zielte auch in die Richtung, dass aufgrund von "hören/sagen" gemutmaßt wurde, dass AVM das Problem wohl verpennt hat.

Abgesehen davon hat AVM damit genug Zeit gehabt auf diese Lücke zu reagieren, hat es aber nicht getan. Ausserdem habe ich auf den AVM Seiten keine Möglichkeit gefunden direkt mit dem Support per Mail in Kontakt zu treten.
Zudem hat DPR behauptet, keine vernünftige Kontaktmöglichkeit gefunden zu haben und wie man nachlesen kann, hat er keine passende "Kategorie" gefunden und es scheinbar einfach gelassen. Das man Firmen, die ein Problem kennen (also nicht nur: Ich glaube X hat denen mal was gesagt) aber nicht reagieren, mit der Veröffentlichung unter Druck zu setzen, finde ich i.O.!

Für mich ist das Thema aber jetzt erledigt und ich werd auch nix mehr sagen. Von mir aus kann auch n Admin den Thread zu machen.
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,201
Beiträge
2,247,950
Mitglieder
373,764
Neuestes Mitglied
Matheuswallin
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.