[Info] 17.2.2014 Hack gegen AVM-Router auch ohne Fernzugang (heise.de)

7270v1 bekam heute ein Update, Speedport W503V nicht. Nun habe ich aus alter Speedport- und neuer Fritzbox-Firmware ein passendes Image gebaut, weiß aber nicht ob der Fehler damit behoben ist.

Wie kann man das testen? :gruebel:
 
CSRF-Lücke der Fritz!Boxen seit April 2009 öffentlich bekannt?

Aber wenn sich die Lücke mit ihren Details weit genug herumgesprochen hat und entsprechende Hacks herum gehen, dann kann jeder bescheuerte Script-Kiddie das machen und da lauert dann eine recht große Gefahr...


Ist es richtig, dass diese CSRF-Lücke der Fritz!Boxen seit April 2009 öffentlich bekannt ist? *)



*) http://www.tecchannel.de/webtechnik...auf_dsl_router_und_web_anwendungen/index.html

Zitat
"Über CSRF-Attacken ist es uns gelungen, die Konfiguration der AVM Fritz!Box, des Cisco/Linksys WAG 160 N und eines ZyXEL P-660HW beliebig zu modifizieren. Aber auch die meisten anderen DSL-Router dürften gefährdet sein. Für den Angriff genügt es, dass der Anwender eine präparierte Website besucht. Diese kann dann Konfigurationsarameter, die über die Web-Oberfläche des DSL-Routers zu erreichen sind, beliebig ändern. Ein Besuch einer manipulierten Seite, und alle Telefonate laufen bei einem Router mit Telefoniefunktion ..."
 
Ist es richtig, dass diese CSRF-Lücke der Fritz!Boxen seit April 2009 öffentlich bekannt ist? *)

XSRF Lücken gab und gibt es in Routern und anderen Webinterfaces immer wieder. Dass es noch die selbe Lücke wie damals ist wage ich mal anzuzweifeln ;)
 
Eine Cross-Site-Lücke ist das nicht, es ist ein direkter Angriff auf die Box ähnlich einer SQL-Injection.
Einfach ausgedrückt: Es werden über Parameter Befehle bei dem Website-Aufruf an das BS gegeben, die dann auf Betriebssystemebene ausgeführt werden.
Cross-Site-Hacking wurde auch schon vor langer Zeit recht effektiv durch die Session-ID verhindert.
 
Die Ganoven sind aktiv!!! Kann man irgendwo in der Fritzbox nachsehen wann man das Update aufgespielt hat?

Eine meiner Boxen (7270 v3, 05.54) wurde letzten Samstag gehackt und ich bin mir eigentlich ziemlich (aber nicht 100%) sicher dass ich das Update bereits zuvor aufgespielt hatte! Da ich ca 10 Boxen im Familienkreis betreue bin ich da jetzt etwas durcheinander.

Es wurde aber definitiv nachts um ca 01:00 Uhr in kurzem Zeitabstand 10 Mal von unbekannter Stelle aus versucht eine bestimmte Auslandsnummer anzurufen, was glücklicherweise fehl schlug. Ein Zufall, Besucher etc ist absolut ausgeschlossen.


Ich wage gar nicht dran zu denken wenn das nun wirklich NACH dem Sicherheits Update passierte!!
 
Hast Du denn alle Deine Passwörter geändert?

@koy: Bitte keine philosophischen OT-Labereien, bitte sachlich beim Thema bleiben, siehe Beitrag #6.
=> Beitrag gelöscht
 
Also ich verstehe hier beim ippf eines nicht: wenn wir der Sicherheit dienen wollen, müssen wir unbedingt solche Threads schließen. Den die fördern die Sicherheit nicht, sie bringt nur manchen auf dumme Gedanken.
 
Semenchkare schrieb:
... müssen wir unbedingt solche Threads schließen ...
Dafür ist es längstens zu spät. Die "dummen Gedanken" gab es schon immer - allein diese genügen in diesem Fall nicht (die Schwachstelle wurde wohlwissend nicht im Detail bekanntgegeben).

G., -#####o:
 
Ich habe eben in der FB noch mal nachgesehen und in den Ereignissen entdeckt,
dass anscheinend gestern Morgen 5 mal hintereinander,
im Abstand von etwa 10 Sek. eine unbekannte und deshalb gesperrte MAC-Adresse
erfolglos versucht hat, sich anzumelden.
Könnten das Zugriffsversuche gewesen sein, die dem hier diskutierten Thema entsprechen?
 
Nein, nein, und nochmals nein. Bitte auch keine Logs dazu wieder mit falschen Anmeldeversuchen...

Du siehst die MAC nicht über das Internet, nur die IP, hast wohl MAC Filter beim WLAN an und einen Standard SSID und andere Versuchen sich anzumelden. Hat nichts mit der Lücke hier zutun.
 
Zuletzt bearbeitet von einem Moderator:
Doch, ich seh in den Ereignissen (die der FB!) eindeutig eine MAC-Adresse, aber die ist unbekannt und ja, der MAC-Filter ist aktiv.
Oder war das vielleicht nur ein Nachbar oder ein Paketbote, dessen Handy ein aktives Wifi hatte?
 
Zuletzt bearbeitet:
Klar ist MAC unbekannt, sonst hätte das WLAN Gerät auch ne IP.

Ist aber nicht Thema...
 
Also geht meine Vermutung in die richtige Richtung?
Ich meine die hier:
Oder war das vielleicht nur ein Nachbar oder ein Paketbote, dessen Handy ein aktives Wifi hatte?
 
Zuletzt bearbeitet:
Ich hoffe mal das dieses Problem gelöst wird denn sonst werden fast alle alten Fritzboxen unbrauchbar für Internet .
 
Hallo,

ich habe die Frage schon im alten Thread gestellt, und bin mir nach wie vor unsicher: was ist mit "alten" Fritzboxen, für die AVM kein Update anbietet, wie meine ganz alte Fritz Box Fon WLAN (die noch keine Nummer am Ende hat, sondern nur so heißt): kann ich die noch sorglöos betreiben? Oder muss ich die von heute auf morgen stillegen? Bei meinen Eltern ist diese noch in Betrieb, ohne Telefonie, und eigentlich brauchen die auch nicht mehr. Es wäre aber fatal wenn deren Internetzugangsdaten durch diese Lücke mißbraucht würde.

Noch eine Anmerkung: wenn ich den heise-Artikel richtig verstehe, dann hat man die Lücke durch Reverse-Engineering bzw. Vergleich alte zu neue Firmware gefunden, sprich: AVM hat das gewusst, aber nicht gesagt, dass nicht nur der Fernzugriff betroffen ist, ist das so korrekt? Das wäre skandalös :(
 
Ob AVM das gewusst hat, ist nicht sicher. Die Boxen mit htaccess-Zugang (das Login - Fenster kommt vom Browser) scheinen nicht betroffen zu sein - alle anderen schon.
 
Ist die Sicherheislücke "sinnvoll" nutzbar?

Laut Aussage eines KD-Mitarbeiters ist es nicht möglich, die SIP-Zugangsdaten an die Kunden herauszugeben, weil sie sie selber nicht einsehen können. Mit dieser Sicherheitslücke sollte es doch inzwischen kein Problem mehr sein. Hat das schon jemand getestet?
 
Ja, dann ist KD ja sicher vor solchen Angriffen, aber die Fritz!Box nicht.
Wie man an die Passwörter in Klartext gelangt, ist wohl dokumentiert auf: Wehavemorefun
Das hat noch nicht einmal was mit dem aktuellen Hack zu tun.
 
Zuletzt bearbeitet:
EWE hat jetzt Updates veröffentlicht: http://download.ewe.de/avm/

7360 auf FRITZ!OS 111.05.51
7390 auf FRITZ!OS 84.05.52

Die sind ja richtig aktuell... Ein Hoch auf EWE!

BTW: scheinbar haben die von AVM noch weitere Informationen bekommen:
"Um Ihnen einen umfassenden Schutz zu gewährleisten, wurden die Rufnummern und IP-Adressen, welche lt. AVM für den Missbrauch verwendet wurden, bereits in unserem Netz gesperrt. "
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.