[Info] 17.2.2014 Hack gegen AVM-Router auch ohne Fernzugang (heise.de)

[chilango79]

O Gott,

also sollte 1und1 schnellstens neue Startcodes an den Kunden versenden bwz. die alten ungültig machen und für den Kunden neue zur Verfügung halten

Aber es bewahrheitet sich mal wieder. Um es dem Kunden so einfach wie möglich zu machen wird die Sicherheit entsprechend eingeschränkt.

 

[scolopender]

also sollte 1und1 schnellstens neue Startcodes an den Kunden versenden ...

Ich nehme an, dass das nicht erforderlich ist, vielmehr vermute ich, dass nach erfolgreicher Einrichtung der Startcode (an der o. a Stelle) durch die "richtigen" Zugangsdaten überschrieben ist.

G., -#####o:

 

[chilango79]

Ok. Dir Frage lag mir auf der Zunge.
Die Daten die bei dir eingetragen wurden sind nicht deine Zugangsdaten sondern eine Art genereller Zugang um sich die Konfig abzuholen?
Aber woher weiss dann 1und1 das du du bist?

PS: Ich kann ja auch eine andere 1und1Box oder eine originale AVM Box (mit 1und1 Branding) mit dem Startcode arbeiten oder? Es geht also nicht über die Seriennummer oder Mac-Adresse der zugesandten Homebox

 

[scolopender]

Die Daten die bei dir eingetragen wurden sind nicht deine Zugangsdaten ...

Das sind nicht meine Zugangsdaten.

... sondern eine Art genereller Zugang um sich die Konfig abzuholen?

Das nehme ich an.

Aber woher weiss dann 1und1 das du du bist?

Anhand des Startcodes. 1&1 weiß von mir gar nichts - 1&1 ist nicht mein Provider. Der eingegebe Startcode ist wohl formal korrekt, aber ansonsten von mir frei erfunden.

Ich kann ja auch eine andere 1und1Box oder eine originale AVM Box (mit 1und1 Branding) mit dem Startcode arbeiten oder?

Ich könnte wohl, so ich denn bei 1&1 und meine FB 7390 nicht defekt wäre, mit dem Startcode die Box konfigurieren lassen. Meine FB 7390 ist nicht "gebrandet" (Geschichte).

Es geht also nicht über die Seriennummer oder Mac-Adresse der zugesandten Homebox

Es wird da auch noch ein Zusatz verwendet (dieses "(Ef8f4818b)"), der irgendwelche weiteren Informationen zum Gerät kodieren mag (Modell-Nummer?, Firmware-Version? - oder doch was ganz anderes?). MAC-Adresse oder Seriennummer sind es nicht (dafür ist der Zusatz zu kurz).

G., -#####o:

 

[chilango79]

Aber es hat ja nichts mit mir zu tun.
Ich kann ja irgendeine 1und1 Box von Ebay mit meinem Startcode einrichten.

Ich beende das jetzt mal da ich ja ebenfalls kein 1und1 habe und auch keinen um die Ecke mit 1und1 habe

 

[Micha0815]

Gefunden auf der FB meiner Freundin in Österreich? (A1.net DSL ohne SIP von A1)

TR069-Account:
==============
username: 00040EC025XXXXXXXX (die x scheinen keine MAC oder Kd.-Nr. zu sein)
password: x1x2x3x4x5x6

Ich las zwar u.a. hier , dass die Kommunikation via TR069 verschlüsselt abläuft. Andererseits schien -mir als Laie- das Sicherheitsleck in den FWs gerade aus diesem Bereich herzurühren?

 

[KunterBunter]

username: 00040EC025XXXXXXXX (die x scheinen keine MAC oder Kd.-Nr. zu sein)

Es ist eine MAC-Adresse der Fritzbox.

Das Sicherheitsleck in den Firmwares rührt nicht aus diesem Bereich her.

 

[Hans Juergen]

Liebe Leute, lest doch bitte richtig: Der Startcode ist nicht in der FB gespeichert, selbstverständlich werden danach die mittels Startcode abgeholten Verbindungsdaten und Passwörter gespeichert...

 

[StevenV]

# 377 # 379

Habe letztes Wochenende im CC eines 1und1 Kunden das Passwort für den DSL-Zugang geändert. Dabei wurde von 1und1 darauf hingewiesen das sich dadurch der Startcode ändert und der neue Code auch direkt angezeigt.

Gruss
Stephan

 

[koyaanisqatsi]

Gut, wenn dem so ist.
Werde es Heute mal prüfen und berichten.

 

[tim70]

Bei meinen 1und1 Acconts wird der Startcode nach Änderungen am Internetzugangspasswort und/oder
der Telefonie geändert - bzw. werde ich auf der 1und1 Seite darauf hingewiesen.

woraus setzen sich eigentlich unter tr069cfg - managementserver
username und password zusammen?

 

[asterixleser]

wird der Startcode nach Änderungen am Internetzugangspasswort und/oder der Telefonie geändert

Kann ich so nicht bestätigen. Habe vor kurzem erst das Internetzugangspaßwort geändert (neuer Startcode) und später die VoIP-Paßwörter (kein neuer Startcode).

 

[tim70]

und/oder weil ich mir nicht mehr sicher war, ob der neue Startcode in jedem Fall generiert wird.

d.h. neuer sTartcode nur nach Änderung des Internetzugangspaßwortes

 

[HabNeFritzbox]

Die Schonfrist ist abgelaufen: Im Netz kursieren Details, wie man die kritische Schwachstelle in den Fritzboxen ausnutzt.

Quelle: http://www.heise.de/newsticker/meld...elegt-Millionen-Router-in-Gefahr-2136784.html

Von daher könnte man nun auch über Details sprechen zur Lücke.

 

[Feuer-Fritz]

Wurde eigentlich die von AVM veröffentlichte Liste hier auch mal gepostet?

 

[KunterBunter]

Ja, als Link auf die Listen hier.

 

[HabNeFritzbox]

Wenn man nach dem Beitrag http://www.ip-phone-forum.de/showthread.php?t=268321 geht wird eine Testseite genannt auf welcher dann ein Bild eingebunden hat mit URL zur FB wo in der URL per wget eine externe Seite nachgeladen wird.

Edit von Christoph: URL entfernt aus Sicherheitsgründen. Bitte nicht erneut posten.

 

[R0cket]

AVM hat neulich die 84.05.54 für die 7390 herausgebracht, was wohl auch die Sicherheitslücke schließen soll.

Daher will ich AVM mal ausdrücklich loben. ich hätte nicht gedacht, dass die das machen.

Wie auch viele andere, habe ich große Probleme mit der 6 er Firmware, warum ich nicht updaten wollte.

Dass das alles keine Hirngespinste waren, zeigt, dass AVM auch für die 84.05 er eine "sichere" Firmware rausgibt. Damit habe ich erstaml meine RUhe.

 

[sf3978]

..., habe ich große Probleme mit der 6 er Firmware, warum ich nicht updaten wollte.

Was für Probleme sind das, die Du mit der 6er Firmware hast? Wie hast Du diese Probleme, ohne update festgestellt?

 

[mcm57]

Wenn man nach dem Beitrag http://www.ip-phone-forum.de/showthread.php?t=268321 geht wird eine Testseite genannt auf welcher dann ein Bild eingebunden hat mit URL zur FB:

Edit von Christoph: Auch die URL entfernt.

Also ein Aufruf dieser "Seite" vom INTRA-Net aus bewirkt bei mir nur dem Aufruf der FB Login Seite. (Ich habe die IP auf die IP meine FB geändert). Allerdings ist die FB bereits gepacjted (aktuelle Labor für 7270 V2).

Ergo - wenn ich bei der Verwendung nichts falsch gemacht habe ist entweder der Link nicht "gefährlich" (= zeigt keine Geheimnisse an) oder der Patch wirkt.

McM