[Info] 17.2.2014 Hack gegen AVM-Router auch ohne Fernzugang (heise.de)

O Gott,

also sollte 1und1 schnellstens neue Startcodes an den Kunden versenden bwz. die alten ungültig machen und für den Kunden neue zur Verfügung halten

Aber es bewahrheitet sich mal wieder. Um es dem Kunden so einfach wie möglich zu machen wird die Sicherheit entsprechend eingeschränkt.
 
chilango79 schrieb:
also sollte 1und1 schnellstens neue Startcodes an den Kunden versenden ...
Ich nehme an, dass das nicht erforderlich ist, vielmehr vermute ich, dass nach erfolgreicher Einrichtung der Startcode (an der o. a Stelle) durch die "richtigen" Zugangsdaten überschrieben ist.

G., -#####o:
 
Ok. Dir Frage lag mir auf der Zunge.
Die Daten die bei dir eingetragen wurden sind nicht deine Zugangsdaten sondern eine Art genereller Zugang um sich die Konfig abzuholen?
Aber woher weiss dann 1und1 das du du bist?

PS: Ich kann ja auch eine andere 1und1Box oder eine originale AVM Box (mit 1und1 Branding) mit dem Startcode arbeiten oder? Es geht also nicht über die Seriennummer oder Mac-Adresse der zugesandten Homebox
 
Zuletzt bearbeitet:
chilango79 schrieb:
Die Daten die bei dir eingetragen wurden sind nicht deine Zugangsdaten ...
Das sind nicht meine Zugangsdaten.

chilango79 schrieb:
... sondern eine Art genereller Zugang um sich die Konfig abzuholen?
Das nehme ich an.

chilango79 schrieb:
Aber woher weiss dann 1und1 das du du bist?
Anhand des Startcodes. 1&1 weiß von mir gar nichts - 1&1 ist nicht mein Provider. Der eingegebe Startcode ist wohl formal korrekt, aber ansonsten von mir frei erfunden.

chilango79 schrieb:
Ich kann ja auch eine andere 1und1Box oder eine originale AVM Box (mit 1und1 Branding) mit dem Startcode arbeiten oder?
Ich könnte wohl, so ich denn bei 1&1 und meine FB 7390 nicht defekt wäre, mit dem Startcode die Box konfigurieren lassen. Meine FB 7390 ist nicht "gebrandet" (Geschichte).

chilango79 schrieb:
Es geht also nicht über die Seriennummer oder Mac-Adresse der zugesandten Homebox
Es wird da auch noch ein Zusatz verwendet (dieses "(Ef8f4818b)"), der irgendwelche weiteren Informationen zum Gerät kodieren mag (Modell-Nummer?, Firmware-Version? - oder doch was ganz anderes?). MAC-Adresse oder Seriennummer sind es nicht (dafür ist der Zusatz zu kurz).

G., -#####o:
 
Zuletzt bearbeitet:
Aber es hat ja nichts mit mir zu tun.
Ich kann ja irgendeine 1und1 Box von Ebay mit meinem Startcode einrichten.

Ich beende das jetzt mal da ich ja ebenfalls kein 1und1 habe und auch keinen um die Ecke mit 1und1 habe
 
Gefunden auf der FB meiner Freundin in Österreich? (A1.net DSL ohne SIP von A1)

Code:
TR069-Account:
==============
username: 00040EC025XXXXXXXX (die x scheinen keine MAC oder Kd.-Nr. zu sein)
password: x1x2x3x4x5x6

Ich las zwar u.a. hier , dass die Kommunikation via TR069 verschlüsselt abläuft. Andererseits schien -mir als Laie- das Sicherheitsleck in den FWs gerade aus diesem Bereich herzurühren?
 
Liebe Leute, lest doch bitte richtig: Der Startcode ist nicht in der FB gespeichert, selbstverständlich werden danach die mittels Startcode abgeholten Verbindungsdaten und Passwörter gespeichert...
 
# 377 # 379

Habe letztes Wochenende im CC eines 1und1 Kunden das Passwort für den DSL-Zugang geändert. Dabei wurde von 1und1 darauf hingewiesen das sich dadurch der Startcode ändert und der neue Code auch direkt angezeigt.

Gruss
Stephan
 
Gut, wenn dem so ist.
Werde es Heute mal prüfen und berichten.
 
Bei meinen 1und1 Acconts wird der Startcode nach Änderungen am Internetzugangspasswort und/oder
der Telefonie geändert - bzw. werde ich auf der 1und1 Seite darauf hingewiesen.

woraus setzen sich eigentlich unter tr069cfg - managementserver
username und password zusammen?
 
wird der Startcode nach Änderungen am Internetzugangspasswort und/oder der Telefonie geändert
Kann ich so nicht bestätigen. Habe vor kurzem erst das Internetzugangspaßwort geändert (neuer Startcode) und später die VoIP-Paßwörter (kein neuer Startcode).
 
und/oder weil ich mir nicht mehr sicher war, ob der neue Startcode in jedem Fall generiert wird.

d.h. neuer sTartcode nur nach Änderung des Internetzugangspaßwortes
 
Wurde eigentlich die von AVM veröffentlichte Liste hier auch mal gepostet?
 

Anhänge

  • AVM_Sicherheitshinweis_ wichtige_Updates_Maerz_2014.pdf
    375.7 KB · Aufrufe: 54
Wenn man nach dem Beitrag http://www.ip-phone-forum.de/showthread.php?t=268321 geht wird eine Testseite genannt auf welcher dann ein Bild eingebunden hat mit URL zur FB wo in der URL per wget eine externe Seite nachgeladen wird.

Edit von Christoph: URL entfernt aus Sicherheitsgründen. Bitte nicht erneut posten.
 
Zuletzt bearbeitet von einem Moderator:
AVM hat neulich die 84.05.54 für die 7390 herausgebracht, was wohl auch die Sicherheitslücke schließen soll.

Daher will ich AVM mal ausdrücklich loben. ich hätte nicht gedacht, dass die das machen.

Wie auch viele andere, habe ich große Probleme mit der 6 er Firmware, warum ich nicht updaten wollte.

Dass das alles keine Hirngespinste waren, zeigt, dass AVM auch für die 84.05 er eine "sichere" Firmware rausgibt. Damit habe ich erstaml meine RUhe.
 
..., habe ich große Probleme mit der 6 er Firmware, warum ich nicht updaten wollte.
Was für Probleme sind das, die Du mit der 6er Firmware hast? Wie hast Du diese Probleme, ohne update festgestellt?
 
Wenn man nach dem Beitrag http://www.ip-phone-forum.de/showthread.php?t=268321 geht wird eine Testseite genannt auf welcher dann ein Bild eingebunden hat mit URL zur FB:

Edit von Christoph: Auch die URL entfernt.

Also ein Aufruf dieser "Seite" vom INTRA-Net aus bewirkt bei mir nur dem Aufruf der FB Login Seite. (Ich habe die IP auf die IP meine FB geändert). Allerdings ist die FB bereits gepacjted (aktuelle Labor für 7270 V2).

Ergo - wenn ich bei der Verwendung nichts falsch gemacht habe ist entweder der Link nicht "gefährlich" (= zeigt keine Geheimnisse an) oder der Patch wirkt.

McM
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.