[Info] 17.2.2014 Hack gegen AVM-Router auch ohne Fernzugang (heise.de)

[sf3978]

Es existieren durchaus Provider, die Ihren Kunden nicht an der Kenntnis von seinen VoIP-Zugangsdaten teilhaben lassen ...

D. h., diese Provider hätten den Kunden zwingen müssen (... inkl. prüfen), nach dem update, das Passwort für den Fernzugang der Box zu ändern.

 

[Novize]

Man kann leicht mit telnet überprüfen ob eine geänderte debug.cfg läuft, war dir das nicht bekannt?

Klar weiss ich das, denn sonst würde ich diese Datei und deren Funktion kaum kennen und damit in diesem Zusammenhang nicht nennen können. :?
Wie sonst, außer über telnet, kann man denn diese füttern und später logischerweise auch lesen?
Das wissen einige hier, aber garantiert nicht alle, die einfach blind das Update drüber laufen lassen und sich danach ausreichend sicher wähnen, weil ihnen der Begriff debug.cfg nichts sagt.
Und wenn man selbst schon was dort eingetragen hat, dann hilft "run_clock -S" auch nicht weiter. Da hilft nur, die Datei selbst einmal auszulesen.

 

[SF1975]

Hallo,
Als einer der Unwissenden hier:
Ich unterstelle einmal AVM, dass sie das wissen. Wäre es möglich, da mittels des Updates vorbeugende Maßnahmen zu ergreifen?

 

[RalfFriedl]

Klar kann man die debug.cfg löschen. Aber diejenigen, die absichtlich etwas hinein geschrieben haben, werden darüber nicht glücklich sein.

 

[SF1975]

Hallo,
Thx . naja, das wäre dann ein "Risiko", das AVM und die entsprechenden User sicherlich lieber eingehen als horrende Probleme/Rechnungen :meinemei:

 

[stsoft]

Nach meinem Kennnisstand erscheint die Meldung "Vom Hersteller nicht unterstützte Änderungen" wenn die debug.cfg etwas enthält, oder?

 

[RalfFriedl]

Die Meldung erscheint unter anderem, wenn man sich einmal über Telnet angemeldet hat. Ob die Meldung auch erscheint, wenn man etwas in der debug.cfg stehen hat, müsste man mal ausprobieren.

 

[JohnDoe42]

...diese Provider hätten den Kunden zwingen müssen ...

Naja ... Wenn sich der Kunde mittels "nicht supporteter" Maßnahmen erst mal die VoIP-Daten aus dem Netzendgerät besorgen mußte, dürfte das schwierig werden ...
Will heißen: Das FW- und PW-Update wäre bei der Mehrzahl der Kunden überhaupt nicht bemerkt worden, weil es durch den Provider selbst (via TR069 u.Ä.) durchgeführt oder zumindest versucht worden wäre.
Waß ich damit sagen möchte: Es gibt eben Provider, die Ihre Boxen für die Kunden weitestgehend vorkonfiguriert haben (inkl. der VoIP-Anmeldedaten). Der Kunde kennt diese in aller Regel nicht einmal, geschweige denn könnte er sie ändern.Spätestens an der Stelle stellt sich für den Fall, daß auch nach dem FW-Update der Boxen noch Mißbrauch geschieht, evtl. die Haftungsfrage ...

Ob die Meldung auch erscheint, wenn man etwas in der debug.cfg stehen hat, müsste man mal ausprobieren.

Müßte ich dafür neu booten ? Meine debug.cfg ist jetzt leer und noch taucht diese Meldung auf.

Grüße,

JD.

 

[sf3978]

Spätestens an der Stelle stellt sich für den Fall, daß auch nach dem FW-Update der Boxen noch Mißbrauch geschieht, evtl. die Haftungsfrage ...

Wenn nach dem FW-update noch Missbrauch geschehen ist, muss der Provider z. B. nachweisen, dass der Kunde das Passwort für den (aktivierten) Fernzugang nach dem FW-update nicht geändert hat, und dann haftet m. E. der Kunde auch bei einem Zwangsrouter.

 

[Novize]

die Meldung "Vom Hersteller nicht unterstützte Änderungen"...

...wird das Gro der Leute nicht sehen geschweige denn verstehen. Die finden ja meist nicht einmal den Zugang zur Fritzbox via "fritz.box" über den Browser.
Wie oft werde ich da was gefragt und muss den Leuten immer wieder am Telefon sagen, wie sie auf die Fritzoberfläche gelangen, um dann die relevante Information auszulesen...

Ich: Welche Firmwareversion ist auf Deiner Box?
Kumpel: Weiß nicht, wie sehe ich das?
Ich: Schau auf der Boxoberfläche nach.
Er: Da steht nur "Homeserver" und die Lampe "Power/DSL" und "WLAN" leuchtet. Mehr ist da nicht
Ich: Nein, im Browser.
Er: Da steht Internet-Explorer
Ich: Du musst fritz.box eingeben
Er: Wo?
...
Ich: Warte, ich gehe über den Teamviewer mal auf Deinen PC. Gib mir mal die ID
Er: Welche ID?


Ohne Worte

 

[RalfFriedl]

Müßte ich dafür neu booten ? Meine debug.cfg ist jetzt leer und noch taucht diese Meldung auf.

Die Meldung wird von der Firmware nie zurück gesetzt, nur durch ein Recover.
Wie schon geschrieben, wird die Meldung schon beim Anmelden über telnet gesetzt, unabhängig davon, ob man danach tatsächlich etwas tut oder nicht. Ob ein Inhalt in debug.cfg diese Meldung auslöst habe ich nicht überprüft, aber eine leere debug.cfg wird diese Meldung nicht beseitigen, ob mit oder ohne Reboot.

 

[Novize]

Eine leere debug.cfg ist was anderes als ein Platzhalter auf eine nicht vorhandene debug.cfg

 

[tim70]

In wieweit könnte eine Fritzbox manipuliert sein, dass die Manipulation einen Firmwareupdate überlebt?
Wie lässt sich nachprüfen ob eine Backdoor installiert wurde?
Hat jmd Lust und das KnowHow und Zeit ein Tutorial zu schreiben?

 

[Novize]

In wieweit könnte eine Fritzbox manipuliert sein, dass die Manipulation einen Firmwareupdate überlebt?

Das ist doch gerade erst beantwortet. Lies doch selbst noch einmal ab hier...

 

[Marcus F.]

Was ist den hier von zu halten: https://play.google.com/store/apps/details?id=de.protransfer.boxsecure

Die App soll feststellen, ob die Box sicher ist:

Der Login auf die Fritzbox ist nicht erforderlich. Somit funktioniert die "ist meine Box sicher" APP immer ! Die APP muss lediglich Verbindung über WLan mit der Fritz!box aufnehmen.

Kennen die also die Lücke?

Wir wollen auch ausdrücklich darauf hinweisen, dass wir nicht über die Fähigkeiten der angreifenden Hacker verfügen und ein solches Angriffsszenario nicht von uns nachvollzogen werden kann, wir wollen mit derlei Aktivitäten einfach nichts zu tun haben!

Wie soll die App die Box prüfen, ohne Login und ohne Kenntnis der Lücke? Oder heißt das nur, dass die Angriffstechnik bekannt ist, aber nicht für kriminelle Einsätze genutzt worden ist? Dann könnte eine Analyse der App zeigen, wie die Lücke funktioniert (hat).

Marcus

 

[inquisitor]

Eine wichtige Info fehlt (oder ich habe sie übersehen). Wurden nach der Aktualisierung auch die Passwörter für den Fernzugang geändert?

Falls nein, könnten die Täter sich beim ersten Hack vor der Aktualisierung nur die Passwörter beschafft haben, um nun nach und nach alle Boxen "abzutelefonieren".

Ja, das ist mir bewußt. Ungewöhnlich wäre es aber trotzdem wenn man erst zwei Wochen zuwartet bevor man Mißbrauch treibt.

In jedem Fall kann man nur nochmals an alle appelieren, die Passwörter in der Box zu ändern, auch wenn bisher kein Missbrauch festgestellt wurde.

Nicht nur die Passwörter in der Box sollte man ändern, sondern auch die Passwörter sämtlicher Dienste, zu denen man die Passwörter in der FritzBox hinterlegt hat (u.a. sämtliche VoIP-Accounts, DynDNS, eMail-Account für Push Service, eMail-Account zur Telefonbuchsynchronisation, WebDAV, PPPoE-Zugangsdaten sofern sich diese für anderweitige Dienste einsetzen lassen (z.B. zur HotSpot-Nutzung)).

 

[SF1975]

Hallo,

J(u.a. sämtliche VoIP-Accounts, DynDNS, eMail-Account für Push Service, eMail-Account zur Telefonbuchsynchronisation, WebDAV, PPPoE-Zugangsdaten sofern sich diese für anderweitige Dienste einsetzen lassen (z.B. zur HotSpot-Nutzung)).

Jo, des wa a gaudi ... dauerte eine lange Zeit ...

Ungewöhnlich wäre es aber trotzdem wenn man erst zwei Wochen zuwartet bevor man Missbrauch treibt.

Nö, IMHO nicht. Wenn es "infizierte" Boxen geben sollte, die nun eine Backdoor haben, lässt man Gras über die Sache wachsen und schlägt dann zu :-Ö

 

[KunterBunter]

Kennen die also die Lücke?

Nein.

Wie soll die App die Box prüfen, ohne Login und ohne Kenntnis der Lücke?

Die App vergleicht einfach die Version der Box mit der Liste von AVM.

 

[RalfFriedl]

Und wie kommt sie ohne Zugangsdaten an die Version der Box?

 

[SF1975]

Hallo,
Kann/konnte man die nicht einmal aus dem eigenen LAN/WLAN mit fritz.box/jason.html oder ähnlich auslesen?