Gehen wir mal davon aus, jemand könnte das. Wie würdest Du diese Pseudofirmware zur Box bringen, wenn der Webzugang aus ist?
[Info] 17.2.2014 Hack gegen AVM-Router auch ohne Fernzugang (heise.de)
- Ersteller voipd
- Erstellt am
koyaanisqatsi
IPPF-Urgestein
- Mitglied seit
- 24 Jan 2013
- Beiträge
- 14,210
- Punkte für Reaktionen
- 590
- Punkte
- 113
Nach einem Reboot, wenn nur die Links gelöscht wurden, ist Webzugang wieder da.
Es gibt übrigens drei Frontends mit CGI deren Erreichbarkeit so verhindert wird: rm /var/html /var/html.nas /var/html.myfritz
Hoffentlich befindet sich die Sicherheitslücke nicht in der UPnP Implementation.
EDIT: Aber logisch, hast Recht, FlippFlopp ist sinnfrei, wenn Webzugang aus ist.
Es gibt übrigens drei Frontends mit CGI deren Erreichbarkeit so verhindert wird: rm /var/html /var/html.nas /var/html.myfritz
Hoffentlich befindet sich die Sicherheitslücke nicht in der UPnP Implementation.
EDIT: Aber logisch, hast Recht, FlippFlopp ist sinnfrei, wenn Webzugang aus ist.
Zuletzt bearbeitet:
Wer Konfig lesen kann wird diese auch beschreiben können oder führt es halt direkt über Shell aus mit wget und dem update Befehl der FW.
Die Fakten sind:
- Über den Fernzugang kann man grundsätzlich auf dieselbe Weboberfläche zugreifen und dieselben Funktionen nutzen wie intern.
- Die Sicherheitslücke lässt sich tatsächlich sowohl extern als auch intern ausnutzen.
- Die Schwachstelle erlaubt eine Art Command Injection, also das Ausführen beliebiger Befehle – hier sogar ohne Login.
- AVM hat die Lücke am 07.02.2014 geschlossen, und zwar sowohl für den Fernzugang als auch für interne Zugriffe.
AVM hat sich darauf berufen, dass sie es Nachahmern nicht unnötig leicht machen wollen, ungepatchte Router anzugreifen. Das ist in gewissem Maß auch verständlich und wird wohl für Heise genauso gelten.
Wir reden hier nicht von einer Hobby-Website, sondern von der Weboberfläche einer namhaften Router-Serie mit zig Millionen verkaufter Exemplare. Als Kunde kann ich zurecht davon ausgehen, dass beim Hersteller Experten arbeiten, die sich einigermaßen gut mit den damit verbundenen Sicherheitsrisiken auskennen. Und CSRF gehört nun wahrlich zum kleinen Einmaleins eines solchen Experten.
Das stimmt insofern, als sich mit CSRF auch Administrationsoberflächen angreifen lassen, die keine Injection-Lücke haben, und die das Login korrekt prüfen. Dann ist aber erstens die Angriffsfläche wesentlich geringer (weil das nur funktioniert, wenn der rechtmäßige Nutzer schon angemeldet ist). Zweitens gibt es durchaus wirksame Gegenmaßnahmen, die auch gar kein Hexenwerk sind.
- Mitglied seit
- 17 Aug 2004
- Beiträge
- 23,104
- Punkte für Reaktionen
- 1,003
- Punkte
- 113
Wäre.. hätte... hätte hätte Fahrradkette...
Oder auch: Warum sind dann die "Experten" von heise-security nicht daruf gekommen, wo die sich doch schon eine Woche beschäftigen? Ganz so offensichlich war's dann wohl doch nicht. Und da uns weitere Details fehlen, wie offensichtlich oder versteckt diese Lücke zu sehen und auszunutzen ist, sollten wir weder pro noch contra AVM urteilen, denn nichts genaues wissen wir...
Dann darf heise aber nicht jammern, dass AVM ebenso verfährt, wie heise selbst.
Ich habe mit meinem Beitrag nur angekreidet, dass heise sich selbst auf ein sehr hohes Roß setzt und Ansprüche gegenüber AVM stellt, die sei selbst nicht halten können oder wollen. Sicher ist jede Sicherheitslücke ein Fauxpas aber ich maße mir nicht an, immer und überall besser zu sein. Das ist die Latte, nach der ich urteilen darf.
Für Heise und andere dürfte das nicht ganz so einfach sein. Die haben den Quellcode nicht vorliegen, sondern sind weitgehend auf Reverse Engineering angewiesen. AVM kennt die Stelle im Code dagegen genau und hat sie ja am 07.02.2014 auch korrigiert.
Die Frage war nicht, ob die Lücke an sich eher offensichtlich oder versteckt ist. Es ging vielmehr darum, ob es dabei einen derart gravierenden Unterschied zwischen dem Fernzugriff und dem internen Zugang gibt, dass AVM selbst zwar den Fehler findet und behebt, aber nicht darauf kommt, dass er auch über die LAN-Seite ausnutzbar ist.
AVM hat die Lücke doch geschlossen, ob bewusst oder unbewusst.
Ob die Angreifer die Lücke über diesen Weg bereits bemerkten oder erst durch die Berichterstattung darauf aufmerksam wurden?
Ob die Angreifer die Lücke über diesen Weg bereits bemerkten oder erst durch die Berichterstattung darauf aufmerksam wurden?
Gravierend ist beides, auch ohne großen Unterschied.
Irgendwie nur noch sinnfreie Diskussion und Off Topic.
Macht einfach Update drauf und gut ist.
Wer meint, braucht man nicht, oder nicht möchte aus Bequemlichkeit mit Freetz ect. lässt es halt sein und belässt es so mit Risiko.
Und wer meint es besser zu können als AVM und es manuell fixen will macht es halt, wird hier aber wohl keine Anleitung zu bekomm.
Irgendwie nur noch sinnfreie Diskussion und Off Topic.
Macht einfach Update drauf und gut ist.
Wer meint, braucht man nicht, oder nicht möchte aus Bequemlichkeit mit Freetz ect. lässt es halt sein und belässt es so mit Risiko.
Und wer meint es besser zu können als AVM und es manuell fixen will macht es halt, wird hier aber wohl keine Anleitung zu bekomm.
@Gobi04: Im Nachhinein spielt das keine Rolle.
G., -#####o:
Richtig!HabNeFritzbox schrieb:
G., -#####o:
Zuletzt bearbeitet:
Nach deiner Logik dürfte es bei dir nur Experten geben die exploit- und bugfreie Software entwickeln oder Amateure mit gefährlichem Halbwissen. Und wenn dann doch mal Experten eine Lücke in ihrer Software hinterlassen dann müssen sie was verschwiegen haben oder sogar gemeinsame Sache mit Hackern machen, denn Experten beherrschen ja ihr Einmaleins. Den kann sowas nicht passieren.:silly:
Stell dir vor die FRITZ!Box bietet auch an ohne Login zu administrieren. Du reitest auf CSRF rum obwohl das nicht das Problem war, sondern nur eine andere Möglichkeit die eigentliche Lücke auszunutzen. Nachher ist man immer schlauer und kann dementsprechend daher quatschen. Die Entwickler sind damit beschäftigt die Lücke zu schließen und nicht die Vielfältigkeit von Angriffsmöglichkeiten zu analysieren.
Zuletzt bearbeitet von einem Moderator:
Ich habe da mal eine Frage.
Aus derWesten und derSpiegel lese ich, dass zwei Leute behaupten,
deren Fritzbox sei gehackt worden, nämlich ein Max Raabe und ein Fabian Steppat. Außerdem kann man lesen - der Vollständigkeit halber erwähnt - , dass in Foren einige User behaupten, bei ihnen habe es auch etwas (absichtlich so ungenau) gegeben. Darüber hinaus behauptet der Raabe, die Polizei habe IHM erzählt, es gäbe noch wenige Fälle. Wohlgemerkt, die Polizei hat nicht erzählt, sondern der Raabe behauptet nur.
Hat denn irgend jemand von den Diskutanten in diesem Forum überhaupt irgend einen Nachweis gesehen oder gar gebracht, mit dem die Behauptungen verifiziert werden könnten. Ja, sicher, es gibt noch den Hanno H. Der bleibt aber genau wie c't und wie auch AVM den Nachweis schuldig. Auch er behauptet nur!
Dies vorausgeschickt meine Frage nun:
hier wird uns eine Story von Mücke und Elefant erzählt, aber weder die Mücke noch den Elefanten hat jemand bisher gesehen.
Ist das nicht seltsam?
Zuletzt bearbeitet:
- Mitglied seit
- 17 Aug 2004
- Beiträge
- 23,104
- Punkte für Reaktionen
- 1,003
- Punkte
- 113
Offensichtlich ist trotz Quellcode der Umfang der Lücke in allen Details nicht sofort so ersichtlich gewesen, dass sich diese Lücke über einen wie auch immer gearteten Workaround auch von innen heraus ausnutzen lässt. Nur das zählt für die Frage, warum sich AVM anfänglich nur zur analysierten Lücke von außen äußerte.
Das wissen wir nicht, daher sollten wir nicht (auch) über dieses Detail (vorver)urteilen.
Und das war es doch, was beim heise-Artikel so befremdlich ist, dass sie AVM im letzten Artikel rumeiern vorwerfen, sie damit verbal vorverurteilen, ohne selbst alle Details zur Sache (Fehler im Source-Code) zu kennen und damit auch zu nennen. Auch ist die Gradlinigkeit zu den Artikeln bei heise zur der Lücke auch eher stark promillelastig. Vielleicht ist diese Lücke durch Try&Error über die http-Aufrufe sogar einfacher zu entdecken gewesen, als in zichtausend Zeilen Quelltext... Wir wissen das alles nicht, der Redakteur von heise wohl auch nicht, sonst hätte er ja div. Kommentare in seinem Forum beantworten können, statt nur drum rum zu reden. Kein gezielte Frage zu seinen Formulierungen hat er plausibel beantwortet, keine Frage zu Workarounds (auch ohne Details zur Lücke zu nennen wäre das spielend machbar), nur fadenscheinige Formalismen waren für mich lesbar. Damit hat er zumindest gezeigt, dass er die Kommentare gelesen hat aber nicht bereit war, die grundlegenden Fragen zu beantworten.
Wäre dieser Fehler so offensichtlich, wie hier manche suggerieren, dann wäre schon bei der ersten Meldung über einen gehackten VoIP-Account der zuständige Sicherheits-Experte von AVM über diese Lücke gestolpert und hätte diese schon viel früher abgedichtet. Auch heise hätte zu dem Zeitpunkt schon mal die Boxen genauer unter die Lupe nehmen können. Das alles lässt sich im Nachhinein schön fordern. Im Nachhinein ist man immer klüger. Das gilt nicht nur für uns, sondern auch für AVM und heise. Klar kann man im Nachhinein anders kommunizieren, als es AVM tat, aber wir kennen nicht den Wissensstand zum Zeitpunkt der Stellungsnahmen, die Erkenntnisse der Programmierer zu diesem Zeitpunkt, die Erkenntnisse von heise zu diesem Zeitpunkt, die ihnen ja von außen angetragen wurden, und auch von der Kommunikation zwischen heise und AVM wissen wir nichts.
Als Fazit bleibt mir dann:
Wir können weder über die Erkenntnisse von AVM zu diesem Zeitpunkt noch über die erkenntnisse und den genauen Fragenkatalog seitens heise sachlich urteilen - da fehlen ca 100% der Fakten. Daher sollten wir alle (Vor)urteile unterlassen und uns bitte dem Problem an sich und deren Behebung bzw deren Workarounds zuwenden. Danke
Nach einigen Beiträgen hier und Artikeln von heise kann ich mit sehr großer Gewissheit sagen, dass dieser Hanno H hier User ist, dass er tatsächlich den Exploit an heise weiter gereicht hat und dass AVM diese Daten auch bekommen hat und daraufhin die Lücke fand und grundlegend abdichtete - losgelöst vom Weg des Eindringens...
das Wort eines Novizen vernehm ich natürlich gern und unbesehen, aber
meine Frage war,
gibt es irgendeinen Beweis für all die schrecklichen Behauptungen?
Vielleicht darf ich ergänzen?:
Wem dient eigentlich dieser ganze Aktionismus, bei dem offensichtlich Beweise nicht einmal vorzeigbar sind?
Egal aus welchen Gründen man sich davor drückt, etwas vorzulegen. Es ist ja nicht einmal dingefest, dass überhaupt richtig ist, was der Raabe behauptet. Zumindest hier wäre ein Beweis möglich, ohne dass anderen Fritzboxnutzern potentielle Gefahren entstünden.
Ich glaube du bringst zeitlich was durcheinander... Erst war der Patch und dann erst der Beitrag von Hanno H.
Die Lücke wurde also auf Grund der vorhandenen Außen-Angriffe gefunden und beseitigt. Erst danach hat Hanno festgestellt, dass der Weg von innen damit gleich mit versperrt war.
- Mitglied seit
- 17 Aug 2004
- Beiträge
- 23,104
- Punkte für Reaktionen
- 1,003
- Punkte
- 113
@Hans Juergen
Pardon, das war unsauber formuliert:
AVM hatte den Berichten zufolge durch Logs und Co, die ihnen zur Verfügung gestellt wurden, diese Lücke (von außen) gefunden und geschlossen, der Workaround von Hanno für den Angriff von innen kam erst danach.
Richtig, das Angriffsszenario von Hanno diente nicht dem Auffinden der Lücke. Sorry!
Nutzen aus dem Fauxpas haben die Nachrichtenportale, die Leser damit anziehen. Erinnre Dich, "bad news are good news". AVM hingegen, die dies aber auf ihren eigenen Seiten (indirekt) bestätigen und genau deshalb auch für uralt-Boxen neue Firmware anbieten (müssen), hat mit Sicherheit keinen Vorteil dadurch.
Pardon, das war unsauber formuliert:
AVM hatte den Berichten zufolge durch Logs und Co, die ihnen zur Verfügung gestellt wurden, diese Lücke (von außen) gefunden und geschlossen, der Workaround von Hanno für den Angriff von innen kam erst danach.
Richtig, das Angriffsszenario von Hanno diente nicht dem Auffinden der Lücke. Sorry!
Die Stellungnahme von AVM in den Sicherheitshinweisen und die Berichte auf heise sollten ausreichen, um die Richtigkeit aufzuzeigen. Genauere Beweise (Exploit) wird es aber nicht geben, denn genau das soll ja verhindert werden, dass jeder das für sich nachbauen und auf anderen Boxen "testen" kann.
Nutzen aus dem Fauxpas haben die Nachrichtenportale, die Leser damit anziehen. Erinnre Dich, "bad news are good news". AVM hingegen, die dies aber auf ihren eigenen Seiten (indirekt) bestätigen und genau deshalb auch für uralt-Boxen neue Firmware anbieten (müssen), hat mit Sicherheit keinen Vorteil dadurch.
blieni
Mitglied
- Mitglied seit
- 29 Sep 2005
- Beiträge
- 457
- Punkte für Reaktionen
- 98
- Punkte
- 28
@pfax
..hier in Südafrika ist mir eine 7390 bekannt, die gehackt wurde und ZAR 1500,00 telefonkosten nach Ägypten verursachte...
..es wurde ein IP-Telefon eingerichtet...
..also geben tut es diese Vorfälle..definitiv
..ich war einer derjenigen der am 3.2.2014 40cm vor dem Bildschirm saß und die logs des Angriffes in der vorrangegangenen Nacht sicherte
..hier in Südafrika ist mir eine 7390 bekannt, die gehackt wurde und ZAR 1500,00 telefonkosten nach Ägypten verursachte...
..es wurde ein IP-Telefon eingerichtet...
..also geben tut es diese Vorfälle..definitiv
..ich war einer derjenigen der am 3.2.2014 40cm vor dem Bildschirm saß und die logs des Angriffes in der vorrangegangenen Nacht sicherte
Zuletzt bearbeitet:
nur komisch dass es fuer die internationale 7270 zwei updates gab:
FRITZ.Box_Fon_WLAN_7270_16.en-de-es-it-fr.54.05.52, kam wohl ein paar Tage vor dem 12. Feb
FRITZ.Box_Fon_WLAN_7270_16.en-de-es-it-fr.54.05.53, auf dem AVM FTP server mit timestamp 13/02/14 15:05:00
Da koennte man fast den Eindruck bekommen, es wurde erst ein Loch gestopft und dann ein anderes.
In der Update Liste fuer die internationalen versionen http://www.avm.de/en/Sicherheit/update_list.html steht aber
7270 available, FRITZ!OS 5.52
schon seltsam
sweetie-pie
Neuer User
- Mitglied seit
- 5 Feb 2005
- Beiträge
- 118
- Punkte für Reaktionen
- 0
- Punkte
- 16
Was ich aber nicht so sehe. Hanno H hat am 16.02.2014, 19:44 hier gepostet, dass er das zu Heise gesendet hat. Das Update von AVM kam für diverse Boxen bereits am 07.02.2014. Ich mutmaße mal, dass Hanno H im Prinzip "nur mit CSRF" von Innen auf die bekannte Vulnerability zugegriffen hat. Auch vermute ich, dass die von ihm attackierte Firmware die Version VOR dem 07.02.2014 war.
Sollte das nicht so sein, heißt das für mich, dass die Fritzbox trotz Patch - Stand heute - noch unsicher ist. Dann frage ich mich allerdings auch wo bleibt das Update? Das kann und will ich nicht glauben.
Aber das kann Hanno H ja mal aufklären: Bezog sich der Angriff auf die alte oder die schon gefixte Version vom 07.02.2014 ?
Vielleicht haben die Entwickler auch an das 2. Angriffsszenario gedacht. Nur werden sie als fachkundige Menschen davon ausgegangen sein das eine zum Angriff präparierte Webseite nicht ungefragt auf Dienste im lokalen Netzwerk zugreifen darf.
- Mitglied seit
- 17 Aug 2004
- Beiträge
- 23,104
- Punkte für Reaktionen
- 1,003
- Punkte
- 113
Nö, denn dann gäbe es diese doppelten Updates für ziemlich alle Boxen, die schon vorher gepatcht wurde.
Eher tippe ich auf einen "normalen" Fehler in der neuen und schon veralteten Firmware der "54.05.52-int".
Dann würde heise aber nicht die neue Firmware als sicher empfehlen, denn zumindest seit dem 16.2. abends sind sie ja in Besitz der Lücke und haben dies ja auch nachstellen können. Warum sollten die dann am 17.2. die neue Firmware empfehlen, wenn diese die Lücke doch nicht schließen sollte. Ganz so pessimistisch und misstrauisch heise gegenüber sollte man nun doch nicht sein.
Neueste Beiträge
-
FRITZ!Box 7590 AX / FRITZ!OS 7.80 vom 30.01.2024
- Letzte: KunterBunter
-
FRITZ!Box 7590 / FRITZ!OS 8.00 vom 31.10.2024
- Letzte: Deckard99
-
[Gelöst] Parallelruf 1&1 Anschluss via Fritzbox
- Letzte: dsi2
-
VLAN für 6869i an Mitel 104 konfigurieren
- Letzte: bubblegun
-
[Problem] Freetz auf 7590 mit 8er FW -> build schlägt wegen libbb fehl- Letzte: BenGurion_
-
[Frage] Neue FritzBox 7530AX ?
- Letzte: Nova2F30
-
[Frage] Aktuelle SIP-DECT XML Dokumentation gesucht // Mitel MSA
- Letzte: Jürgen A