[Info] 17.2.2014 Hack gegen AVM-Router auch ohne Fernzugang (heise.de)

[uboot81]

2. Ich hatte vor einiger Zeit mal meine Zugangsdaten nicht mehr griffbereit. Mit folgender Methode habe ich die Daten astrein aus dem Router lesen können: http://www.hardwareluxx.de/community/f67/speedport-zugangsdaten-auslesen-806208.html
Ich habe das gerade mit der neuesten Firmware ausprobiert, "speedport.ip" durch "fritz.box" ersetzt und ich kann frei/fröhlich und munter ein Capture vom Login ziehen. Das könnte ein WLAN Freak oder ein pubertierender Sohn am LAN auch machen.

...wenn er das Zugangspasswort für das Webinterface kennt. Dann kann man aber noch viel mehr, z.B. alternative Firmware flashen mit Backdoor drin...

Mit Freetz kann man diese Capture-Funktion übrigens deaktivieren, ebenso TR069. Ich hab damit die Firmware auf das nötigste reduziert...

 

[nordicwalker]

Nunja, das war Knowledge Fishing social Art

Ich lese mir mal TR-069 durch.

Ich denke, je komplexer eine Software ist, desto eher findet man Sicherheitslücken. Das ist bei Windows aufgrund auch der massiven Verbreitung im End-User Bereich ein riesen Problem mit Sicherheitsupdates. Jetzt läuft die Fritzbox auf Linux, hat aber auch eine entsprechend massenhafte Verbreitung. AVM handelt zeitnah und ist so denke ich auch nicht zu schwach aufgestellt, noch mehr ein Auge auf Sicherheit zu werfen. Ist ja lange gut gegangen...Da wird am Ball geblieben schätze/wünsche ich.

Eine Frage hätte ich noch: Hanno ist ein Reverse Engineering.... Wenn ich doch den Quellcode der Fritzbox aus dem Netz laden kann, muss ich doch nicht geerntete Kartoffeln wieder eingraben, bevor ich sie mühsamst ernte.
Es sei denn, Hanno hat ausführbaren Schadcode analysiert, den andere übersetzt haben, um zu zeigen, Leute, so klappts auch mit dem BlueFritzBoxing.

 

[Freetz!Box]

Glaubt ihr wirklich, dass sie so wenig Ahnung haben, was die Sicherheit von Web-Oberflächen angeht?

Die ganze Ahnung nützt nichts wenn man nicht darauf kommt das der User im LAN präparierte Webseiten mit Schadcode ansurft. Der User als unwissender Komplize der die Hintertür aufhält ist ne Schwachstelle die aber ansich keine Lücke darstellt. Unter dieser Betrachtungsweise müsste man eigentlich sogar den Router vor dessen Benutzer abschotten, ganz besonders wenn es sich um den Otto-Normal-DAU handelt. Für die Entwickler hat sich durch die Erkenntnis, dass es auch ohne Fernzugang grundsätzlich Zugriffsmöglichkeiten aus dem LAN gibt, nichts an der Problematik verändert.
In dem Sinne wenn man alle möglichen Szenarien durchdenken will, dann ist das als Philosoph zwar gut, aber was Produktives muss am Ende des Tages auch bei rauskommen.

 

[hph]

Eine Frage hätte ich noch: Hanno ist ein Reverse Engineering.... Wenn ich doch den Quellcode der Fritzbox aus dem Netz laden kann, muss ich doch nicht geerntete Kartoffeln wieder eingraben, bevor ich sie mühsamst ernte.

Gegenfrage: Ist die FRITZ!Box open-source?

@hph:
Gratulation zum Besuch in stern.tv zu dem Thema. Warst Du doch, oder?

Danke, ja das war ich (im Publikum gegen Ende des Beitrags).

Die "Experten" bei SternTV haben nichts gesagt von wegen Daten sollten geändert werden, nur nach dem Motto: Jo, mach ma Update, und alles gut.

Das hätte man in der Tat noch erwähnen sollen. Leider war die Zeit generell sehr knapp, aber ich denke der sternTV Beitrag hat seinen Zweck trotzdem nicht verfehlt: Nämlich die Leute für das Thema "Router-Sicherheit"/"embedded security" zu sensibilisieren.

Und diese Vorführung wie Angriff abläuft hätte man sich auch eher sparen können.

Das ist Ansichtssache: Klar, wer im IPPF o. Ä. diskutiert hat eine gewisse technische Vorbildung und war vielleicht davon gelangweilt. Allerdings muss man bedenken, dass wohl ein Großteil der Zuschauer keinerlei besondere Expertise in diese Richtung mitbringt. Zur Veranschaulichung und um diese Leute ebenfalls anzusprechen, war es denke ich eine gute Entscheidung.

SternTV ist ja eher Live hier in HH.

Gedreht wurde in Hürth bei Köln.

 

[sibsnonto]

Mit Freetz kann man diese Capture-Funktion übrigens deaktivieren, ebenso TR069.

Das mit TR069 hatte ich direkt gesehen in der menuconfig von Freetz aber wie kann man die Capture-Funktion deaktivieren ?
Wäre nett wenn du das sagen könntest.

MfG

 

[dani-91]

Wie genau funktionierte das Ausnutzen der Sicherheitslücke

Hi,

wie genau haben die die Sicherheitslücke ausgenutzt? Was war das für ein Schadcode und wie hat der das über den Webbrowser geschafft?
Ich möchte das wissen, um abzuschätzen, ob das bei mir mit Linux auch passiern hätte können.

Gruß

 

[scolopender]

wie genau haben die die Sicherheitslücke ausgenutzt? Was war das für ein Schadcode und wie hat der das über den Webbrowser geschafft?

Das wird hier bewusst nicht preisgegeben, um nicht die FRITZ!Boxen noch mehr zu gefährden, die noch nicht die Korrektur-Firmware erhalten haben.

... ob das bei mir mit Linux auch passiern hätte können.

Hätte es. Da wird/wurde eine Schwachstelle der FRITZ!Box ausgenutzt, nicht eine des Betriebssystems auf einem Rechner. Auf den FBen läuft übrigends auch ein Linux.

G., -#####o:

 

[erik]

Zumindest soll dieses Forum nicht die Anleitung für weitere Einbrüche in noch nicht gesicherte Router bei nicht Technik-Interessierten Leuten liefern und das ist richtig so.

 

[nordicwalker]

Wenn ich ein System einigermaßen verstanden habe, gilt folgender Grundsatz: Ein guter Hacker muss kein guter Programmierer sein und umgekehrt gilt das Gleiche. Ich habe selbst zu Amiga Zeiten mal einen Trojaner in SAS C programmiert, der zielgerichtet eingesetzt auf zwei BBS mir das Sysop Passwort XOR #$55 decodiert ins Postfach legte als Mail. Ich bin dann nachts rein in die Boxen und habe mir Level 9 verpasst und dem Sysop Level 7. Der Trojaner hatte eine Lebenszeit von einem Tag und hat sich dann nicht mehr ausführen lassen. Beide Sysops, die ich persönlich kannte, habe ich über mein neues CPU Info Tool im Vorfeld informiert und auch darum gebeten, das als Beta nicht etwa in Public Domain zu packen. Ich wollte vom Sysop wissen, ob seine 68040 Karte + 68882 Karte auch angezeigt wird Michael, ein Sysop, den ich am nächsten Tag aufklärte, meinte, behalte Level 9, wir sind eh Kumpels. Besser als Du kann ich die Box nicht warten.

 

[dani-91]

Leute, ich will doch nicht, dass ihr mir ein Struktogramm vom Schadcode aufschreibt.
Ob es mir was gebracht hätte, wenn ich die Weboberfläche mit einem anderen Browser aufgerufen hätte, oder jedes Mal den Verlauf löschen würde oder sie via Privatem Modus aufrufen sollte, hätte mir schon gereicht.
Es wird auch wieder Sicherheitslücken geben und da wäre es vorteilhaft, so etwas zu wissen und diese Information bringt einem Hacker rein garnichts, sondern hilft Anwendern, sie im Vorraus besser vorzubeugen!

 

[sweetie-pie]

Das ist schade, denn als Informatiker hätte mich das sehr interessiert, zB. ob das via Javascript oder ActiveX passiert ist.

Das ist im Prinzip total egal. Das Problem ist ein unsicherer Dienst auf der Fritzbox, der URL, POST/GET-Parameter oder sonstiges nicht sauber verarbeitet und es dadurch erlaubt ohne Passwort die Konfiguration auszulesen. Offensichlich ist dieser Dienst einerseits über Port 443 von extern erreichbar, wenn die zitierte Fernwartung aktiv ist und der Dienst ist auch aus dem lokalen Netz erreichbar.

Wenn es dir jetzt gelingt irgendwie ein Proxy(Mittelsmann) zwischen lokalem Netz und Internet zu aktivieren, kannst Du auch auf die Schwachstelle im Router zugreifen und die Daten abziehen. Das kann ein eigens eingerichteter Proxy sein, das kann ein Trojaner auf einem PC sein, das kann dein China-Gadget mit Internetanschluss sein, das kann ein zwielichtiges Browseraddon sein, das kann eine Witzapp auf deinem Handy sein, dass keine eine mit Java/AJAX manipolierte Webseite sein oder eine Seite mit einem ActiveX-Applet.... oder oder oder

Um das mal für den Laien zubeschreiben:
AVM hat bei der Fritzbox in die Tür zum Internet ein Schloss eingebaut, was man leicht knacken kann. Deswegen kam zuerst der Hinweis am besten die Tür zum Internet zu zumauern. Jedoch sitzt das gleiche Schloss an der Zwischentür zwischen Garage und Wohnung. Das ist zwar augenscheinlich sicherer, weil man erstmal in Garage muss (lokales Netz), aber wenn man da drin ist, ist der Schutz wieder genauso gut bzw. schlecht wie an der Tür zum Internet vorher. Wie Du dabei in die Garage kommst kannst Du die aussuchen: Durchs Dachfenster, durch die Nebeneingangstür oder durchs das Garagentor...

@dani-91:Jetzt darfst Du mal googeln, was es noch alles für Möglichkeiten für einen http://de.wikipedia.org/wiki/Cross-Site-Request-Forgery gibt. Als Informatiker bauste mal ein ActivX für den IE und dann kommst Du vielleicht bei Ulrich Meyer in AKTE klärt auf.... :blonk: ... nicht böse sein, war'n Spaß... *g*

PS: Und übrigens, im Prinzip ist die aktuelle Sicherheitslücke ein alter Hut schön kombiniert mit der anderen Schwachstelle und nochmal medienwirksam aufgehübscht. Aber in einem muss ich hph recht geben, jetzt weiß auch Opa Müller, dass er das nächste Mal seinen Enkel fragt, ob sein Router sicher ist oder was geupdated werden muss...

 

[nordicwalker]

Wenn jetzt via 1&1 oder auch anderen Providern Zugangsdaten doppelt benutzt werden durch BD Downloader.

Im Fall von 1&1 mache ich direkt eine Milchmädchenrechnung: 30 (d) x (24h) x 60(min) *1,2 Eurocent / 100 = 518,40€ Gebühren wegen Einwahl ausserhalb der Flatrate + zig Briefe von Anwälten wegen Abmahngebühren...

Was ich wissen möchte - konnten die Zugangsdaten geklaut werden mit der noch unbekannten Methode ?

 

[dani-91]

Das ist im Prinzip total egal. Das Problem ist ein unsicherer Dienst auf der Fritzbox, der URL, POST/GET-Parameter oder sonstiges nicht sauber verarbeitet und es dadurch erlaubt ohne Passwort die Konfiguration auszulesen. Offensichlich ist dieser Dienst einerseits über Port 443 von extern erreichbar, wenn die zitierte Fernwartung aktiv ist und der Dienst ist auch aus dem lokalen Netz erreichbar.

Wenn es dir jetzt gelingt irgendwie ein Proxy(Mittelsmann) zwischen lokalem Netz und Internet zu aktivieren, kannst Du auch auf die Schwachstelle im Router zugreifen und die Daten abziehen. Das kann ein eigens eingerichteter Proxy sein, das kann ein Trojaner auf einem PC sein, das kann dein China-Gadget mit Internetanschluss sein, das kann ein zwielichtiges Browseraddon sein, das kann eine Witzapp auf deinem Handy sein, dass keine eine mit Java/AJAX manipolierte Webseite sein oder eine Seite mit einem ActiveX-Applet.... oder oder oder

Danke Genau das wollte ich wissen. Jetzt kann ich mir ein Bild machen.

Deine Leienbeschreibung hat was

@dani-91:Jetzt darfst Du mal googeln, was es noch alles für Möglichkeiten für einen http://de.wikipedia.org/wiki/Cross-Site-Request-Forgery gibt. Als Informatiker bauste mal ein ActivX für den IE und dann kommst Du vielleicht bei Ulrich Meyer in AKTE klärt auf.... :blonk: ... nicht böse sein, war'n Spaß... *g*

Haha, jaja Ich will nur eins, es Angreifern möglichst schwer machen, in mein Netzwerk zu kommen.

Posting 2:

[Edit Novize: Überflüssiges Fullquote des Beitrags des Beitrags direkt darüber gelöscht - siehe Foren-Regeln]

In SternTV haben sie die ar7.cfg vom Router geholt, das hat man auf dem Bildschirm gesehn. Da steht alles drin.

 

[penum]

Ich bin kein Profi, aber ich frage mich, warum werden die Passworte im Klartext abgelegt und nicht nur der Hashcode (SHA-256),...das sollte doch zumindest die Passworte schon mal sichern, bei einem eventuellen Angriff.

 

[fibco]

@penum:
Na, die Passworte müssen an die entsprechenden Dienste doch auch übermittelt werden können.

@Admin-Team bzw. @Novize:
Halte die Beiträge von gestern (20.2.14, Zeitraum zwischen 22:55 und 23:41 Uhr) zwar für eher wenig wertvoll und durchaus für löschwürdig (abgesehen von meinem ersten nun fehlenden, auf den ich aber keinen gesteigerten Wert lege). Finde aber, dass Löschungen transparent geschehen und kommuniziert werden sollten! Erinnerungen restlos tilgen zu wollen, ist ein Fehler von dem wir - zu anderen Zeiten und heute anderen Orte - sehen, dass so etwas totalitär und "ungut" ist. Das IPPF hat so etwas nicht nötig!

 

[DM41]

Finde aber, dass Löschungen transparent geschehen und kommuniziert werden sollten!

Es wurde für die kommuniziert, die es angeht. Schau in Deine Mail-Benachrichtigungen zu dem Thread. Da war so viel Offtopic bei, dass es in einem Chat evtl. schön anzusehen ist, in einem konstruktiv diskutierenden Forum aber nichts zu suchen hat.

 

[koyaanisqatsi]

Moin

Wer sich also in der Domäne fritz.box befindet, ist potentiell angreifbar/gefährdet.
Nur durch blosses surfen durchs Internet. Es ist nur eine Frage der Zeit, wann es den erwischt.
Deswegen hab ich den Link /var/html gelöscht. Kein Konfigurationswebinterface mehr erreichbar.
...auch dessen cgi-bin nicht.
Weder über HTTP noch über HTTPS. Und hoffentlich sind so auch keine Injections mehr möglich.
Wer kann eine Pseudofirmware basteln?
Mit FlipFlop Funktion:
Einmal flashen = Webzugang weg.
Nochmal flashen = Webzugang wieder da.
Möglichst ohne Neustart.

 

[sweetie-pie]

Moin
Wer sich also in der Domäne fritz.box befindet, ist potentiell angreifbar/gefährdet.
.

Da gebe ich dir voll Recht. Un das schlimme ist, dass man das bei der Fritzbox nicht ändern kann und das ist ein Punkt den AVM m.E. dringend ändern sollte. Genauso wie die Recover-IP die auf allen Geräten gleich ist. Hier kamen ja schon gute Vorschläge dazu... zum Beispiel das Web-IF nur per Knopfdruck, oder so.
Diese Recover-IP ist aus meiner Sicht sowieso totaler Blödsinn und nunnötiges Risiko, die macht ja nur Sinn beim Neustart der Box und kann 5 Minuten nach Neustart deaktiviert werden. Ist aber wohl auch dem Komfort geschuldet, z.B. wenn der DAU seine IP verduselt hat und dann bei der Hotline anruft... "Geben sie mal 169.254.1.1 im Browser ein...". genau wie der fixe DNS-Eintrag fritz.box.

Aber trotzdem muss man sich aber auch im klaren sein, dass NICHT NUR das Webinteface eine mögliche Schwachstelle ist. Das hat der eine oder ander glaube ich noch nicht ganz verstanden. Jeder offene Dienst birgt ein Risiko (Mediaserver, NAS usw.). Aber auch hier gilt wie im richtigen Leben: No risk, no fun. Schalt ich alles ab, ist die Box langweilig, aber auch sicherer. Geh ich nicht Skifahren, sinkt mein Risiko mir das Bein zu brechen erheblich, aber den Spass habe ich dabei auch verpasst...

Ich probiers nochmal bildlich für den Laien:
Wenn du den offensichlichen Haupteingang (Webinterface) deiner Wohnung mit einer ordenlichen Tür samt vernünfigem Schließsystem ausgestattet hast, schütz dich das nicht davor das die bösen Buben durch die Terassentür kommen, weil Du das Fenster auf Kipp gelassen hast. Wobei die Terassentür z.B. der Mediasever sein kann.

Aber im Ernst, ich denke hier erwartet uns in Zukunft häufiger mal was. So ein Post-Paid Telefonanschluss ist halt ein lohnendes Ziel, dass ist fast so gut wie der Zugriff auf das Bankkonto. Nicht umsonst muss man bei dem einen oder anderen Provider der SCHUFA-Klausel zustimmen. Man muss halt probieren für den Fall der Fälle das Risiko auf den Provider abzuwälzen: Rufnummernsperre, Prepaid o.ä. hatte ich ja schon mal zuvor geschrieben.

 

[uboot81]

Das mit TR069 hatte ich direkt gesehen in der menuconfig von Freetz aber wie kann man die Capture-Funktion deaktivieren ?

Ok, hab mich verkuckt - es wird nur dtrace entfernt, den Rest muss man von Hand deaktivieren. Hier wird erklaert, wie alles zusammenhaengt http://www.wehavemorefun.de/fritzbox/Paketmitschnitt

Entscheidend ist jedoch, die Box mit nem guten Passwort zu schuetzen...

 

[Novize]

Bitte endlich beim Thema bleiben. :?
Was bisher gelöscht wurde, ist hier in diesem Thread und auch in dem vorigen, bei dem es noch um einen eventuellen Massenhack ging mehrfach nachlesbar. Was können wir dafür, dass einige einfach nicht lesen wollen. Ein bisschen Eigeninitiative ist schon gefragt, denn dies hier ist ein Forum und keine Super-Duper-Premium-Gratis-Für-Alle-Fragen-Hotline. Die letzten ~5 Beiträge bieten auch nichts neues. Daher noch einmal:
Lest den kompletten Thread., bevor ihr weitere Dinge anfragt, die schon mehrfach beantwortet wurden!
Und nun noch weiteres administratives:
Bitte auch hier kein Fullquotes oder auch unsinnige Riesenquotes, wenn man nur auf einen Satz eingeht, auch hier keine Schiebepostings. Diszipliniert euch einfach mal.