[Info] 17.2.2014 Hack gegen AVM-Router auch ohne Fernzugang (heise.de)

@inquisitor - war der Fernzugang zu dieser Fritzbox eingerichtet? war/wurde nach "dem Hack" vielleicht ein weiterer Benutzer eingerichtet?
 
Man könnte als Hacker auch die fritz.box vor dem Update so modifizieren, dass selbst nach dem Update eine backdoor vorhanden ist. z.B. indem man per Script nach dem schreiben des flasimages und vor dem reboot das Flash mounted und noch ein weiteres binary in cgi-bin legt. Sprich Schadcode der das Update überlebt. Technisch wäre das möglich!
 
Der Hack benutzt eine manipulierte HTML.
Ist der EMail Accountbesitzer in Besitz einer Fritz!Box, kann man das event. am Posteingang erkennen.
Diesem wird so eine manipulierte EMail/HTML Nachricht geschickt, klick, fertig.
 
Zuletzt bearbeitet:
Ja Volltextsuche in den Mails (Quelltext) nach den bekannten Adressen der box. Alla fritz.box 192.168. U.s.w.
 
Mir ist zwar bis heute nicht klar wie diese 16m geklauten eMail-Zugangsdaten in Verbindung mit der FritzBox stehen
Ein Zusammenhang ist bis heute nicht berichtet worden.
Der Hack benutzt eine manipulierte HTML. wird so eine manipulierte EMail/HTML Nachricht geschickt, klick, fertig.
Auch dieses wurde bisher nicht bestätigt. Es ist nur theoretisch möglich gewesen.
Bestätigt sind bisher ausschließlich Einbrüche in die FB die die Passwortabfrage bei der Fernwartung umgangen haben.
 
Zuletzt bearbeitet von einem Moderator:
Die aufgeführte IPv6-Adresse hat allerdings denselben Präfix wie die bis heute verwendete IP des Geschädigten (ist das evtl. ein Hinweis auf die Art und Weise des Hacks?).
Deutet das auf einen Hack über WLAN hin?
 
... die noch am 8. Februar 2014 auf die mutmaßlich gefixte FritzOS Version 84.06.03 aktualisiert wurde, gehacked wurde ...

Eine wichtige Info fehlt (oder ich habe sie übersehen). Wurden nach der Aktualisierung auch die Passwörter für den Fernzugang geändert?
Falls ja, wäre es tatsächlich möglich, dass noch eine weitere Lücke besteht.
Falls nein, könnten die Täter sich beim ersten Hack vor der Aktualisierung nur die Passwörter beschafft haben, um nun nach und nach alle Boxen "abzutelefonieren".

In jedem Fall kann man nur nochmals an alle appelieren, die Passwörter in der Box zu ändern, auch wenn bisher kein Missbrauch festgestellt wurde.

Mir stellte sich bisher auch immer die Frage, ob eine Aktualisierung der Firmware ausreicht, oder ob es nicht ratsam ist, allen potentiellen Opfern zu empfehlen, die Box zu recovern, um mögliche Überbleibsel eines Hacks zu eliminieren. (Auch wenn bisher keine Fälle dieser Art bekannt sind)
 
Mir stellte sich bisher auch immer die Frage, ob eine Aktualisierung der Firmware ausreicht, oder ob es nicht ratsam ist, allen potentiellen Opfern zu empfehlen, die Box zu recovern, um mögliche Überbleibsel eines Hacks zu eliminieren. (Auch wenn bisher keine Fälle dieser Art bekannt sind)
Rein theoretisch kann zumindest über die debug.cfg was auch immer in der Box verewigt sein, was natürlich auch nach einem Firmwareupdate noch funktionell ist. Jeder nachgeladene Code aus dem Internet könnte dort verewigt sein, dafür bedarf es noch nicht einmal eines USB-Sticks an der Box. Das Internet hat genug "eigenen" Speicher. :hehe:
 
Also,

ich versuche nochmal das, was ich bisher glaube herausgelesen und verstanden zu haben, zusammenzufassen:

1. Das Auslesen der Router-Config geschieht über den Aufruf einer präparierten Website
2. In der Folge nutzt man den Fernzugang (TCP 443), um sich kraft der unter 1. gewonnenen Zugangsdaten Zutritt zur Box zu verschaffen und ein neues Telefon anzulegen.

Nun meine Überlegung(en) dazu:

1. Wenn man zum Surfen die üblichen Techniken und Erweiterungen benutzt (Privoxy, NoScript usw.) sollte doch das Risiko eines "Kontaktes" zwischen Router (via Client) und präparierter Website eher klein sein ... (?)
2. Wenn der Zugang zu Port 443 deutlichst limitiert ist, weil evtl. dort ein anderer Dienst läuft bzw. der Zugang durch iptables nur einem bestimmten IP-Pool gestattet ist, würde dies doch auch die Zugriffsmöglichkeiten einschränken ...

Abschließend noch eine Bemerkung: Es existieren durchaus Provider, die Ihren Kunden nicht an der Kenntnis von seinen VoIP-Zugangsdaten teilhaben lassen und diese de facto fest in ihren "Netzabschlußgeräten" verdrahten. Heißt: Der Endkunde hat keine Möglichkeit, diese PW oder sonstige (VoIP-)Zugangsdaten zu ändern.
Grüße,

JD.
 
Code:
22.02.14    05:03:42    Anmeldung an der FRITZ!Box Benutzeroberfläche von IP-Adresse 2002:d599:XXXX::a060:1b63:4710:9558.
Die aufgeführte IPv6-Adresse hat allerdings denselben Präfix wie die bis heute verwendete IP des Geschädigten (ist das evtl. ein Hinweis auf die Art und Weise des Hacks?).
Sind an der Box irgendwelche Android-Geräte angemeldet, auf denen z.b. BoxToGo läuft? Von denen scheinen nämlich die IPv6-Anmeldungen zu stammen.
 
1. Das Auslesen der Router-Config geschieht über den Aufruf einer präparierten Website
2. In der Folge nutzt man den Fernzugang (TCP 443), um sich kraft der unter 1. gewonnenen Zugangsdaten Zutritt zur Box zu verschaffen und ein neues Telefon anzulegen.
Nein, in den alten FW wurde nach bisheriger Kenntnis nur ein Umgehen des Passwortschutzes bei Fernwartung ausgenutzt. Nach dem Fixen wurde durch hph festgestellt, dass die Lücke auch Aufruf präparierter Seiten möglich gewesen wäre. Darüber gibt es aber bis heute keine Berichte. Wenn die Box upgedatet ist sind beide Möglichkeiten geschlossen.

Guckst du auch hier
 
Zuletzt bearbeitet von einem Moderator:
Okay, jetzt nehmen wir mal an, daß generell die Anmeldung an der Box von einer "unpassenden" IP durch iptables verhindert wird - dann würde dies den Angriff verhinden (?)

@ sven@mainz:

Woran kann man das erkennen ?
 
Bin selbst noch am suchen. Beim Samsung Smartphone konnte ich es nachvollziehen, da steht das Intervall mobil auf 1 Stunde und so erscheint auch jede Stunde ein Logeintrag. Wenn es über WLAN angemeldet ist, dann kommt die IPv4-IP der Box. Hab zu Hause noch ein Tablet liegen, ich tippe drauf, das von diesem die IPv6-er IP stammt, wenn BoxToGo dort einen Abruf tätigt. Habs nur noch nicht angeschaut, welcher Aktualisierungszeitraum dort eingestellt ist.
 
Ohne in die Box einzugreifen, würde das Klientseitige zuweisen der DNS-Server Aufrufe von fritz.box und fritz.fonwlan.box unterbinden.
Leider kann der HTTP Port nicht nur "Out of the box" geändert werden.
Beispielhaft:
Exportdatei --> websrv {...} --> Port 80 auf was freies Grosses ändern --> NoChecks=yes --> import in die Box
Hab meinen geändert und das reicht um alle "statischen" Varianten ins Leere laufen zu lassen:
fritz.box, fritz.fonwlan.box, Default IP 192.168.178.1 und 169.254.1.1
reichen dann alleine als Aufruf/Adresse nicht mehr aus.
Letztendlich auch die IPv6, da die ja auch den Standardport abfragen.
Doof nur wenn der über UPnP abgefragt werden kann.
 
Zuletzt bearbeitet:
Das meinte ich nicht - ich dachte daran, sowas hier zu unterbinden:
Code:
22.02.14    05:03:42    Anmeldung an der FRITZ!Box Benutzeroberfläche von IP-Adresse 2002:d599:XXXX::a060:1b63:4710:9558.
 
kann man leicht mit telnet überprüfen

[Edit Novize: Völlig überflüssiges Fullquote des Beitrags #331 gelöscht - siehe Foren-Regeln]


> kann zumindest über die debug.cfg

Novize! Man kann leicht mit telnet überprüfen ob eine geänderte debug.cfg läuft, war dir das nicht bekannt?

run_clock -S
 
Zuletzt bearbeitet:
Man kann auch über eine infizierte website einfach die Fernwartung einschalten und dass Passwort ändern. Das abschalten bringt nicht wirklich was gegen den Angriff. Update ist für beste Wahl
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,085
Beiträge
2,245,799
Mitglieder
373,539
Neuestes Mitglied
Horst Fürst
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.