@inquisitor - war der Fernzugang zu dieser Fritzbox eingerichtet? war/wurde nach "dem Hack" vielleicht ein weiterer Benutzer eingerichtet?
[Info] 17.2.2014 Hack gegen AVM-Router auch ohne Fernzugang (heise.de)
- Ersteller voipd
- Erstellt am
Man könnte als Hacker auch die fritz.box vor dem Update so modifizieren, dass selbst nach dem Update eine backdoor vorhanden ist. z.B. indem man per Script nach dem schreiben des flasimages und vor dem reboot das Flash mounted und noch ein weiteres binary in cgi-bin legt. Sprich Schadcode der das Update überlebt. Technisch wäre das möglich!
inquisitor
Aktives Mitglied
- Mitglied seit
- 7 Aug 2004
- Beiträge
- 1,494
- Punkte für Reaktionen
- 6
- Punkte
- 38
koyaanisqatsi
IPPF-Urgestein
- Mitglied seit
- 24 Jan 2013
- Beiträge
- 14,210
- Punkte für Reaktionen
- 590
- Punkte
- 113
Der Hack benutzt eine manipulierte HTML.
Ist der EMail Accountbesitzer in Besitz einer Fritz!Box, kann man das event. am Posteingang erkennen.
Diesem wird so eine manipulierte EMail/HTML Nachricht geschickt, klick, fertig.
Ist der EMail Accountbesitzer in Besitz einer Fritz!Box, kann man das event. am Posteingang erkennen.
Diesem wird so eine manipulierte EMail/HTML Nachricht geschickt, klick, fertig.
Zuletzt bearbeitet:
Ja Volltextsuche in den Mails (Quelltext) nach den bekannten Adressen der box. Alla fritz.box 192.168. U.s.w.
Ein Zusammenhang ist bis heute nicht berichtet worden.
Auch dieses wurde bisher nicht bestätigt. Es ist nur theoretisch möglich gewesen.
Bestätigt sind bisher ausschließlich Einbrüche in die FB die die Passwortabfrage bei der Fernwartung umgangen haben.
Zuletzt bearbeitet von einem Moderator:
eisbaerin
IPPF-Urgestein
- Mitglied seit
- 29 Sep 2009
- Beiträge
- 11,377
- Punkte für Reaktionen
- 1,065
- Punkte
- 113
koyaanisqatsi
IPPF-Urgestein
- Mitglied seit
- 24 Jan 2013
- Beiträge
- 14,210
- Punkte für Reaktionen
- 590
- Punkte
- 113
Ich hab mal gegoogelt, hier im Forum gibt es einen (alten) Thread mit Link zu einem Artikel:
CSRF-Attacke aus dem Web
Millionen DSL-Router hochgradig gefährdet
von Albert Lauchner, 08.04.2009
Sieht verdächtig nach dieser Methode aus.
CSRF-Attacke aus dem Web
Millionen DSL-Router hochgradig gefährdet
von Albert Lauchner, 08.04.2009
Sieht verdächtig nach dieser Methode aus.
Zuletzt bearbeitet:
- Mitglied seit
- 26 Apr 2005
- Beiträge
- 7,498
- Punkte für Reaktionen
- 158
- Punkte
- 63
Eine wichtige Info fehlt (oder ich habe sie übersehen). Wurden nach der Aktualisierung auch die Passwörter für den Fernzugang geändert?
Falls ja, wäre es tatsächlich möglich, dass noch eine weitere Lücke besteht.
Falls nein, könnten die Täter sich beim ersten Hack vor der Aktualisierung nur die Passwörter beschafft haben, um nun nach und nach alle Boxen "abzutelefonieren".
In jedem Fall kann man nur nochmals an alle appelieren, die Passwörter in der Box zu ändern, auch wenn bisher kein Missbrauch festgestellt wurde.
Mir stellte sich bisher auch immer die Frage, ob eine Aktualisierung der Firmware ausreicht, oder ob es nicht ratsam ist, allen potentiellen Opfern zu empfehlen, die Box zu recovern, um mögliche Überbleibsel eines Hacks zu eliminieren. (Auch wenn bisher keine Fälle dieser Art bekannt sind)
- Mitglied seit
- 17 Aug 2004
- Beiträge
- 23,104
- Punkte für Reaktionen
- 1,003
- Punkte
- 113
Rein theoretisch kann zumindest über die debug.cfg was auch immer in der Box verewigt sein, was natürlich auch nach einem Firmwareupdate noch funktionell ist. Jeder nachgeladene Code aus dem Internet könnte dort verewigt sein, dafür bedarf es noch nicht einmal eines USB-Sticks an der Box. Das Internet hat genug "eigenen" Speicher. :hehe:
Also,
ich versuche nochmal das, was ich bisher glaube herausgelesen und verstanden zu haben, zusammenzufassen:
1. Das Auslesen der Router-Config geschieht über den Aufruf einer präparierten Website
2. In der Folge nutzt man den Fernzugang (TCP 443), um sich kraft der unter 1. gewonnenen Zugangsdaten Zutritt zur Box zu verschaffen und ein neues Telefon anzulegen.
Nun meine Überlegung(en) dazu:
1. Wenn man zum Surfen die üblichen Techniken und Erweiterungen benutzt (Privoxy, NoScript usw.) sollte doch das Risiko eines "Kontaktes" zwischen Router (via Client) und präparierter Website eher klein sein ... (?)
2. Wenn der Zugang zu Port 443 deutlichst limitiert ist, weil evtl. dort ein anderer Dienst läuft bzw. der Zugang durch iptables nur einem bestimmten IP-Pool gestattet ist, würde dies doch auch die Zugriffsmöglichkeiten einschränken ...
Abschließend noch eine Bemerkung: Es existieren durchaus Provider, die Ihren Kunden nicht an der Kenntnis von seinen VoIP-Zugangsdaten teilhaben lassen und diese de facto fest in ihren "Netzabschlußgeräten" verdrahten. Heißt: Der Endkunde hat keine Möglichkeit, diese PW oder sonstige (VoIP-)Zugangsdaten zu ändern.
Grüße,
JD.
ich versuche nochmal das, was ich bisher glaube herausgelesen und verstanden zu haben, zusammenzufassen:
1. Das Auslesen der Router-Config geschieht über den Aufruf einer präparierten Website
2. In der Folge nutzt man den Fernzugang (TCP 443), um sich kraft der unter 1. gewonnenen Zugangsdaten Zutritt zur Box zu verschaffen und ein neues Telefon anzulegen.
Nun meine Überlegung(en) dazu:
1. Wenn man zum Surfen die üblichen Techniken und Erweiterungen benutzt (Privoxy, NoScript usw.) sollte doch das Risiko eines "Kontaktes" zwischen Router (via Client) und präparierter Website eher klein sein ... (?)
2. Wenn der Zugang zu Port 443 deutlichst limitiert ist, weil evtl. dort ein anderer Dienst läuft bzw. der Zugang durch iptables nur einem bestimmten IP-Pool gestattet ist, würde dies doch auch die Zugriffsmöglichkeiten einschränken ...
Abschließend noch eine Bemerkung: Es existieren durchaus Provider, die Ihren Kunden nicht an der Kenntnis von seinen VoIP-Zugangsdaten teilhaben lassen und diese de facto fest in ihren "Netzabschlußgeräten" verdrahten. Heißt: Der Endkunde hat keine Möglichkeit, diese PW oder sonstige (VoIP-)Zugangsdaten zu ändern.
Grüße,
JD.
Sind an der Box irgendwelche Android-Geräte angemeldet, auf denen z.b. BoxToGo läuft? Von denen scheinen nämlich die IPv6-Anmeldungen zu stammen.
Nein, in den alten FW wurde nach bisheriger Kenntnis nur ein Umgehen des Passwortschutzes bei Fernwartung ausgenutzt. Nach dem Fixen wurde durch hph festgestellt, dass die Lücke auch Aufruf präparierter Seiten möglich gewesen wäre. Darüber gibt es aber bis heute keine Berichte. Wenn die Box upgedatet ist sind beide Möglichkeiten geschlossen.
Guckst du auch hier
Zuletzt bearbeitet von einem Moderator:
Okay, jetzt nehmen wir mal an, daß generell die Anmeldung an der Box von einer "unpassenden" IP durch iptables verhindert wird - dann würde dies den Angriff verhinden (?)
@ sven@mainz:
Woran kann man das erkennen ?
@ sven@mainz:
Woran kann man das erkennen ?
Bin selbst noch am suchen. Beim Samsung Smartphone konnte ich es nachvollziehen, da steht das Intervall mobil auf 1 Stunde und so erscheint auch jede Stunde ein Logeintrag. Wenn es über WLAN angemeldet ist, dann kommt die IPv4-IP der Box. Hab zu Hause noch ein Tablet liegen, ich tippe drauf, das von diesem die IPv6-er IP stammt, wenn BoxToGo dort einen Abruf tätigt. Habs nur noch nicht angeschaut, welcher Aktualisierungszeitraum dort eingestellt ist.
koyaanisqatsi
IPPF-Urgestein
- Mitglied seit
- 24 Jan 2013
- Beiträge
- 14,210
- Punkte für Reaktionen
- 590
- Punkte
- 113
Ohne in die Box einzugreifen, würde das Klientseitige zuweisen der DNS-Server Aufrufe von fritz.box und fritz.fonwlan.box unterbinden.
Leider kann der HTTP Portnicht nur "Out of the box" geändert werden.
Beispielhaft:
Exportdatei --> websrv {...} --> Port 80 auf was freies Grosses ändern --> NoChecks=yes --> import in die Box
Hab meinen geändert und das reicht um alle "statischen" Varianten ins Leere laufen zu lassen:
fritz.box, fritz.fonwlan.box, Default IP 192.168.178.1 und 169.254.1.1
reichen dann alleine als Aufruf/Adresse nicht mehr aus.
Letztendlich auch die IPv6, da die ja auch den Standardport abfragen.
Doof nur wenn der über UPnP abgefragt werden kann.
Leider kann der HTTP Port
Beispielhaft:
Exportdatei --> websrv {...} --> Port 80 auf was freies Grosses ändern --> NoChecks=yes --> import in die Box
Hab meinen geändert und das reicht um alle "statischen" Varianten ins Leere laufen zu lassen:
fritz.box, fritz.fonwlan.box, Default IP 192.168.178.1 und 169.254.1.1
reichen dann alleine als Aufruf/Adresse nicht mehr aus.
Letztendlich auch die IPv6, da die ja auch den Standardport abfragen.
Doof nur wenn der über UPnP abgefragt werden kann.
Zuletzt bearbeitet:
Das meinte ich nicht - ich dachte daran, sowas hier zu unterbinden:
Code:
22.02.14 05:03:42 Anmeldung an der FRITZ!Box Benutzeroberfläche von IP-Adresse 2002:d599:XXXX::a060:1b63:4710:9558.kann man leicht mit telnet überprüfen
[Edit Novize: Völlig überflüssiges Fullquote des Beitrags #331 gelöscht - siehe Foren-Regeln]
> kann zumindest über die debug.cfg
Novize! Man kann leicht mit telnet überprüfen ob eine geänderte debug.cfg läuft, war dir das nicht bekannt?
run_clock -S
[Edit Novize: Völlig überflüssiges Fullquote des Beitrags #331 gelöscht - siehe Foren-Regeln]
> kann zumindest über die debug.cfg
Novize! Man kann leicht mit telnet überprüfen ob eine geänderte debug.cfg läuft, war dir das nicht bekannt?
run_clock -S
Zuletzt bearbeitet:
Man kann auch über eine infizierte website einfach die Fernwartung einschalten und dass Passwort ändern. Das abschalten bringt nicht wirklich was gegen den Angriff. Update ist für beste Wahl
Ich bin sicher, dass er weiß, dass man das überprüfen kann, auch wenn ich dafür nicht run_clock -S nutzen würde.
Die Frage ist eher, ob das auch jeder tun würde.
Neueste Beiträge
-
[Problem] Tonwahl beim T48S- Letzte: NDiIPP
-
[Frage] Dect-WS500S Verbindungen an Compact 4000
- Letzte: oezi
-
Analoges Wählgerät einer Alarmanlage an VoIP betreiben ...
- Letzte: provisorischerFtmmsch
