[Info] BPjM-Filterung im FRITZ!OS kann umgangen werden, wenn jemand NAS-Schreibzugriff hat

Wenn ein ansonsten über die BPjM-Liste limitierter Nutzer im Netzwerk (betrifft nur das LAN und damit "per default" das neu definierte Standardprofil "Kind") gleichzeitig Schreibzugriff auf das Wurzelverzeichnis des NAS (genauer auf das dort liegende Unterverzeichnis "FRITZ") hat, kann er durch Manipulation des Inhalts der BPjM-Liste die Filterung für dort verzeichnete Adressen umgehen.

Diese Liste wird (in der Standardeinstellung) ebenfalls für die Filterung im Gastnetz verwendet, von dort ist aber kein Zugriff auf das NAS möglich. Der Effekt einer manipulierten Datenbank ist aber für den Zugriff aus dem Gastnetz natürlich derselbe.

Die aktualisierte BPjM-Liste wird nach dem Update unter "/var/media/ftp/FRITZ/bpjm.data" gespeichert und wenn dort der schreibende Zugriff möglich ist und gleichzeitig der Samba-Service für diesen Zugriff zur Verfügung steht, kann diese Liste "an Ort und Stelle" so geändert werden, daß die Hash-Werte für die dort hinterlegten Internet-Adressen nicht mehr stimmen und in der Folge der Zugriff auf diese Domains ebenfalls gestattet wird. Ein Zugriff über den FTP-Service kann nicht zur Manipulation benutzt werden, da die Datei nur "in place" geändert werden kann, ansonsten bemerkt der Dienst für die Inhaltsfilterung (contfiltd) die Änderung und erzeugt eine neue, wieder gültige Datei.

Ein "proof of concept" für diesen Angriff ist als PowerShell-Skript in meinem GitHub-Repository zu finden, zusammen mit der ausführlicheren (na gut, so viel mehr gibt es da eigentlich nicht zu sagen) Beschreibung, wo das Problem liegt und wie ein Angreifer es ausnutzen könnte (auch wenn nicht jeder seine Kinder als "Angreifer" sehen wird, Teenager können ganz schön gerissen sein). Nach dem Schreiben per PoC ist die BPjM-Filterliste "leer" - wer diese also wirklich braucht und es einfach mal selbst probieren wollte/will, startet einfach die Box im Anschluß neu.

Die effektivste Gegenmaßnahme, die man selbst treffen kann, ist auch denkbar einfach ... es reicht vollkommen, keinen Schreibzugriff auf das Wurzelverzeichnis des NAS (oder gar "alle angeschlossenen Speicher") zu gewähren, zumindest nicht einem Benutzer, der gleichzeitig in den Genuß der Filterung über die BPjM-Liste kommen soll. Daß gleichzeitig auch nur wirklich notwendige Schreibrechte immer eine gute Idee sind, versteht sich von selbst, denke ich.

Andererseits denkt man ja gar nicht unbedingt darüber nach, wenn der Sohnemann antrabt und gerne mal den USB-Stick ABC in die FRITZ!Box stecken und darauf zugreifen will, weil er meinetwegen den Mediaserver nutzern will. Da sind dann die NAS-Rechte auch mal schnell falsch eingestellt (ist ja nicht für lange) und dann wird es vergessen. In vielen Familien sind vielleicht auch die Teenager fitter in diesen Dingen als ihre Eltern und dann sind die schnell mal "bequatscht" und der direkte Zusammenhang zwischen der BPjM-Filterung und dem NAS ist ja auch nicht vorhanden, daß man da mißtrauisch werden müßte.

AVM wurde vor längerer Zeit informiert (Timeline im GitHub), sagte den Fix für das nächste "major release" zu und kündigte an, dieses in Q3 2016 veröffentlichen zu wollen. Nunmehr sind wir in der Halbzeit von Q4 2016 und von AVM gab es weder eine Information, daß und wie weit sich das Release verschieben wird noch wurde bisher auch nur der Versuch unternommen, das Thema zu entschärfen. In der 113.06.69-419896 ist der Angriff nach wie vor möglich.

Auch hier liegt das Grundübel wieder darin, daß der Zugriff auf das "FRITZ"-Verzeichnis für die interne Speicherung von Daten des FRITZ!OS über die NAS-Funktionen möglich ist. Schon der Entzug der Schreibrechte für die bpjm.data für alle Nutzer nach dem Update der Datei würde vollkommen ausreichen, damit diese nicht mehr über Samba manipuliert werden kann - besser wäre es generell, diese Verzeichnisse (auch auf USB-Volumes werden sie angelegt) dem NAS-Zugriff zu entziehen.

@koy:
Haupt-Box für die Entwicklung ist nach den veröffentlichten Beta-Versionen ja immer noch die 7490, bei der letzten Public (41896) funktioniert das Skript noch. Ich habe das natürlich auch noch einmal (und zwar eben mit der letzten verfügbaren Version) getestet.

Wenn es bei der 7560 nicht mehr funktioniert, wäre zu klären, woran das liegt. Sollte AVM da wirklich die Speicherung an anderer Stelle vorsehen oder gar wieder auf die ausschließliche Speicherung im tmpfs zurückfallen (den Ort der Ablage der Datei findest Du vermutlich mit einem "lsof | grep bpjm"), ist das zwar auch eine Lösung, aber es bleibt dabei, daß durch den NAS-Zugriff auf die FRITZ-Verzeichnisse auch andere interne Daten der FRITZ!Box offengelegt werden. Das geht damit los, daß über den Mediaplayer jedermann im LAN auf AB-Nachrichten zugreifen kann. Auch brauche ich keine umständliche Möglichkeit des Uploads eines eigenen Bildes für den Gastzugang einbauen (inkl. eines gesonderten CGI-Programms, das nur zu diesem Zweck dient), wenn das hinterher einfach per NAS ausgetauscht werden kann. Auch der Zugriff auf den Cache des WebDAV-Speichers auf diesem Weg (wo die Datei allerdings nur steht, bis sie auf dem DAV-Laufwerk komplett abgelegt wurde - ob auch Lesezugriffe wirklich gecacht werden, weiß ich grad nicht mehr), ist sicherlich weder notwendig noch besonders sicher.

---

-@MuP:

• Für dieses Problem wurde meinerseits nicht einmal darüber nachgedacht, einen "reward" ins Gespräch zu bringen. Da gab es also auch niemanden bei AVM, der sich um eine "Bewertung" und Konditionen irgendeinen Kopf machen mußte.
• Der einzige Bug bei den derzeit offenen Problemen, für den ich überhaupt nach einem "reward" fragte, ist der DoS-Angriff auf eine FRITZ!Box - der läßt sich auch extern initiieren und wäre es in meinen Augen tatsächlich wert gewesen, mit einer "Prämie" abgegolten zu werden. AVM bot keine solche an auf meine diesbezügliche Frage, sondern 6 Wochen nach der Meldung eine "Aufwandsentschädigung" mit unklaren Kondititionen in Bezug auf den Verbleib der Rechte zur Veröffentlichung (und - ich sage es ganz offen - in einer Höhe, die nicht einmal annähernd dem Aufwand gerecht geworden wäre, den hatte ich schon fast bei der Kommunikation mit AVM zu diesem Problem). Da habe ich das Angebot dann ausgeschlagen und lieber die Rechte zur Veröffentlichung behalten.
• Das habe ich bei anderen Problemen dummerweise nicht getan und so muß ich mit einem "Maulkorb" (allerdings einem monetären Ertrag) bei bestimmten Problemen leben, die zwar in neuerer Firmware behoben wurden, aber in älteren Modellen nach wie vor vorhanden sind. So wurde z.B. für die 7270v2/3 noch vor einem Jahr eine Version 06.06 "nachgeschoben" mit ein paar Änderungen (offenbar ja deshalb, weil es noch Boxen gibt, die damit betrieben werden, sonst hätte AVM das wohl kaum getan), dort ist aber ein (zu diesem Zeitpunkt anderswo lange gefixtes) Problem immer noch vorhanden, welches durch den simplen Austausch bzw. das Auslassen einer einzigen Datei im Image behoben werden könnte - also auch keinen wirklichen Test oder gar zusätzlichen Programmieraufwand erforderlich machen würde. Stattdessen ist das weiterhin offen und ein direktes Einfallstor für die Ausführung eigener Kommandos auf einer von diesem Problem betroffenen Box (auch wieder nur aus dem LAN, also kein Grund zur Panik, aber recht unangenehm - eine direkte "backdoor" ist es wohl nicht, auch wenn es wie eine aussieht). Eine weitere Lücke könnte hingegen auch extern ausgenutzt werden (so esoterisch sind die Randbedingungen dafür nun auch wieder nicht) und wurde wohl auch nicht gefixt für die danach erschienenen Versionen < 06.3x, obwohl sie in neuerer Firmware geschlossen wurde. Dazu reicht der Austausch einer einzigen Zeile in einer Skript-Datei - das Funktionieren dieser einen Änderung in anderen Boxen ist bereits erprobt - auch hier geht der Aufwand also gegen Null. Das dritte Problem (Dez. 2014 bis Feb. 2015 mit AVM "diskutiert"), für das ich jemals einen Reward von AVM erhalten habe (das waren dann auch schon alle, die "abgegolten" wurden), wurde dann später bei der 6490 von anderen entdeckt und diente dann zum Upload von "Pseudo-Images" für den Telnet-Zugang - es war offensichtlich bis zum Herbst 2015 (da sollte die 06.26 erschienen sein) auch noch nicht gefixt bei der 6490. Auch das betraf am Ende eigentlich nicht nur DOCSIS-Boxen ... wenn ein Angreifer durch den Upload einer eigenen Firmware mit erbeuteten Credentials (wie oft ich schon geschrieben habe, was es dazu im LAN nur braucht, weiß ich nicht wirklich) die Firmware des Routers permanent ändern kann, ohne daß der Eigentümer es bemerkt, ist das eben ein Problem und wenn ich das Einspielen einer "unsignierten Firmware" automatisieren kann, ist deren Integrität gefährdet. Irgendwann sah das AVM vermutlich auch so ... in der Folge ist es für einen Angreifer komplizierter geworden, eine unsignierte Firmware zu installieren. Jedenfalls bei reinem WLAN-Zugriff auf die Box, wie ihn jedes Android-Gerät im LAN hätte, dessen Besitzer sich vermutlich auch ganz gerne mal mit seinem Smartphone an der FRITZ!Box anmeldet und sei es mit einer der FRITZ!App-Versionen von AVM. Damit sind dann schon mal zwei Voraussetzungen auf einem Gerät vereint (WLAN-Zugang, Credentials in irgendeiner App) und es braucht nur noch die passende Malware, um das miteinander zu verbinden und auszunutzen. Das geht nun nicht mehr, seitdem die Installation unsignierter Firmware komplett unterbunden wird. Das mag für "Modder" unangenehm sein, für den Rest der (AVM-)Welt ist eine Malware, die das Problem ausnutzt, wesentlich unangenehmer.
• AVM hat gar kein richtiges Bug-Bounty-Programm und auch keine veröffentlichte "disclosure policy". Alles, was es gibt, ist die sicherlich auch Dir bekannte Seite in der AVM-Präsenz, wo man sich den GPG-Key für (vertrauliche) Kontaktaufnahmen suchen kann und wo AVM erklärt, wie man sich mit seinem Anliegen zu einem Sicherheitsproblem an sie wenden könne. Also wird es vermutlich auch die von Dir bedauerte "Stellenbeschreibung" des "bug bounty contractors" nicht wirklich geben, das wird nebenbei von jemand anderem erledigt.

---

-Manchmal wünschte ich mir tatsächlich, daß solche "kurz angebundenen Bemerkungen" (auch wenn sie mit einem Smiley enden) etwas klarer zum Ausdruck bringen, was damit gemeint sein soll.

Es gibt m.E. mind. zwei Interpretationen:

- So viele Fehler, die kommen mit deren Bewertung wahrscheinlich kaum hinterher.

- Eher ein kleineres Problem, die 10 EUR als Bug-Bounty-Reward, die das wohl wert sein mag, sind nichts im Vergleich zum Bearbeitungsaufwand bei AVM. Wenn es keine größeren Probleme gibt ...

Wenn jemand wie @MuP noch nicht weiß, wie mißverständlich solche Beiträge sind, solange man sich nicht wirklich klar ausdrückt, wie soll man das dann von Leuten mit deutlich geringerer Anzahl eigener Beiträge erwarten?

- - - Aktualisiert - - -

@HabNeFritzbox:
Das geht ja an einigen Stellen noch viel weiter.

Wenn eine der neueren Boxen mit einem Standardkennwort ab Werk versehen ist und der Besitzer es nicht ändert (weil es gar nicht deutlich gemacht wird im GUI, daß man das unbedingt ändern sollte - ich habe jedenfalls sogar gezielt gesucht und nichts gefunden), dann reicht auch wieder ein einziger Blick auf das Typenschild auf der Rückseite der Box (auch für einen Besucher in einem unbeobachteten Augenblick - Könnte ich ein Glas Wasser haben? - wenn die Box irgendwo im Wohnzimmer steht), um das Kennwort für "@CompatMode" zu erfahren.

Wurde dann (entgegen der Empfehlung von AVM - auch wenn ich nicht sicher bin, ob der betreffende Assistent beim Einrichten einer 1&1-Box inzwischen wirklich auch immer auf der betreffenden Seite vorbeikommt, früher war das schon mal nicht der Fall) auch das WLAN-Kennwort nicht geändert (ich kann nicht wirklich einschätzen, wieviele FRITZ!Boxen das betreffen mag, erlebe es aber immer wieder), kann das nicht nur das Kind im Haushalt problemlos ausnutzen (das braucht dann vermutlich nur das Login-Kennwort), sondern auch der Fremde - sofern er sich in der WLAN-Reichweite der FRITZ!Box aufhält.

Zwar steht dann hinterher irgendeine Anmeldung eines fremden Gerätes im Eventlog - ein simpler Neustart reicht bereits zum Verwischen der Spuren und den (durchschnittlichen) FRITZ!Box-Besitzer möchte ich sehen, der bei einem solchen Neustart an einen Angriff denkt. Es soll sogar Leute geben, wo genau FRITZ!Boxen mit den geschilderten Voraussetzungen am Eingang im Flur stehen (weil da die TAE-Dose sitzt) und wenn der Vertreter sich die Schuhe anzieht beim Gehen, hat man den vermutlich auch nicht ständig im Blick.

Oder denke Dir irgendein anderes Szenario aus, welches Dir wahrscheinlicher erscheint - Sicherheit ist tatsächlich immer ein Gesamtkonzept und wenn der FRITZ!Box-Besitzer nicht mitzieht, kann man sich bei AVM anstrengen wie man will ... aber man macht es dort dem "durchschnittlichen Kunden" auch nicht gerade leichter, wenn man sich einige (Fehl-)Entscheidungen ansieht.

So verständlich die Intention auch ist, die Daten für den Zugriff bei Werkseinstellungen hinten auf der Box anzubringen (da gehen sie nicht verloren), so sehr ist das "old school" - nicht bei jedem (ich behaupte sogar mal, ohne es beweisen zu können: nur bei einer Minderheit) der Kunden hängt die FRITZ!Box irgendwo versteckt hinter einem Schrank. In einer normalen Mietwohnung steht die neben dem Telefonanschluß (der oft genug weit vorne in der Wohnung im Flur liegt, weil das häufig genug auch der zentrale Punkt ist, wenn links und rechts Zimmer abgehen) und daneben steht die (analog) angeschlossene DECT-Basis als Ladestation für das Telefon.

Da ist es per se schon mal besser, die Entscheidung für oder gegen das Aufbringen eines (zusätzlichen) Aufklebers mit diesen Daten in die Hände des Kunden zu legen - ggf. mit einer passenden, ausführlichen Warnung/Erklärung auf dem Blatt in der Verpackung, wo so ein Aufkleber bereitgestellt wird. Pappt der Kunde den dann auf die Rückseite, ist er selbst schuld ... bei vielen landet der dann vielleicht in der Ablage neben der Rechnung, aber das könnte ja dann wieder erhöhten Support-Aufwand für den Hersteller nach sich ziehen und kostet vermutlich ein paar Cent mehr in der Herstellung. Hier macht man sich (m.E.) schon das erste Mal "einen schlanken Fuß" auf Kosten der Sicherheit - auch wenn ein wirklich zufälliges, voreingestelltes WLAN-Kennwort mit sicherer Verschlüsselung ab Werk "vorbildlich" ist und AVM auch deshalb bei den ganzen WLAN-Problemen eher selten (m.W. noch nie) betroffen ist. Solange die Umsetzung aber Mängel hat (und man darf eben nicht alles nur aus der eigenen Perspektive betrachten und muß sich - gerade bei Consumer-Geräten - auch in diesen hineinversetzen können), bringt auch das neue oder andere Gefahren mit sich.

Wie lange gibt es jetzt schon das voreingestellte WLAN-Kennwort bei AVM und wie lange hat es gedauert, bis es den Assistenten bei der Ersteinrichtung gab, der überhaupt erst einmal zur Änderung des voreingestellten Kennworts auffordert (wenn den inzwischen wirklich jeder sehen sollte)?

Auch heute noch (zumindest bis zur 141.06.63, ich setze meine 7490 auch nicht bei jeder neuen Firmware auf Werkseinstellungen zurück um die Tests für AVM zu machen, das ist deren Sache und sie machen sie - meine Meinung - immer schlechter) gibt es auf der Sicherheitsseite nicht den geringsten Hinweis darauf, daß die FRITZ!Box das voreingestellte WLAN-Kennwort verwendet, welches jeder mit einem schnellen Foto der Rückseite einer FRITZ!Box mit dem Smartphone "auslesen" kann, wenn er nur einen kurzen Moment unbeobachtet ist.

So ein Warnhinweis wäre so etwas von billig zu haben, daß es schon fast peinlich ist, daß das bei den WLAN-Einstellungen und in der Sicherheitsseite nicht sogar jedesmal prominent hervorgehoben wird und das WLAN endet bekanntlich nicht an der Grenze der eigenen vier Wände.

Wer würde den Nachbarn bei der Bitte um die berühmte Tasse Zucker ständig im Blick behalten, während die Tasse gefüllt wird und er im Flur neben der FRITZ!Box steht? Das gilt dann für andere Personen (Weihnachtszeit, die Spendensammler sind wieder unterwegs) ebenso ... solange im Flur keine Wertsachen herumliegen oder Antiquitäten herumstehen, wird der "normale Kunde" kaum darüber nachdenken, daß eine FRITZ!Box tatsächlich auch das Ziel eines "Angriffs" sein könnte. Natürlich eines unbemerkten, denn wenn die auf einmal fehlen sollte, fällt das vermutlich auch im Durchschnittshaushalt auf.