Wie sieht es aus, wenn du bereits in der Fritz!Box eingeloggt bist und rufst dann in einem anderen TAB den Link auf?
[Info] 17.2.2014 Hack gegen AVM-Router auch ohne Fernzugang (heise.de)
- Ersteller voipd
- Erstellt am
Was soll es bringen? Wenn SessionID nicht übergeben wird in der URL ist es eine neue Session und damit ein Login fällig.
Ich hab erst jetzt den referenzierten Beitrag (http://www.ip-phone-forum.de/showthread.php?t=268321) genauer angesehen. Die Seitenaddresse mit integriertem wget scheint genau das Problem Zugriff von innen via präperierter Webseite abzutesten. Da meine Box bereits gepachted ist, dürfte es hier nicht mehr gehen - was ja gut ist. Aus Neugierde würde ich aber gerne wissen, ob meine Vermutung dass derselbe Zugriff auf einer nicht gepatchten, d.h. verletzbaren Box sehr wohl Daten auslesen kann. Wenn ja, dann dürfte wohl genau dieser Fehler das Problem gewesen sein.
(Falls wer in einer Anworet oder dem Ergenis eines Tests auf einer nicht patchten Box ein Sicherheitsproblem für andere sieht - bitte NICHT antworten. Kann's mir zwar nicht wirklich vorstellen, aber vielleicht überseh ich ja was.)
McM
(Falls wer in einer Anworet oder dem Ergenis eines Tests auf einer nicht patchten Box ein Sicherheitsproblem für andere sieht - bitte NICHT antworten. Kann's mir zwar nicht wirklich vorstellen, aber vielleicht überseh ich ja was.)
McM
koyaanisqatsi
IPPF-Urgestein
- Mitglied seit
- 24 Jan 2013
- Beiträge
- 14,210
- Punkte für Reaktionen
- 590
- Punkte
- 113
Hallöle
Soweit ich das bis jetzt verstanden habe, nutzt diese Lücke einen Mechanismus von dem alle
Webbasierten Anwendungen oder Geräte betroffen sein könnten.
So wäre auch ein Angriff, wie jüngst berichtet wurde, auf SmartTVs vorstellbar.
Oder Lap-, Net- ,Notebooks und Pads. Smartfons, Kühlschränke, SPS ...
Soweit ich das bis jetzt verstanden habe, nutzt diese Lücke einen Mechanismus von dem alle
Webbasierten Anwendungen oder Geräte betroffen sein könnten.
So wäre auch ein Angriff, wie jüngst berichtet wurde, auf SmartTVs vorstellbar.
Oder Lap-, Net- ,Notebooks und Pads. Smartfons, Kühlschränke, SPS ...
Ob der Patch wirkt, siehst Du nicht daran, dass die Login Seite kommt.
Die grundsätzliche Kategorie des Fehlers, der hier gemacht wurde, kann jeden Webserver betreffen, oder noch allgemeiner jedes Programm, das Daten von einem anderen Programm annimmt, ob als Server, als Client oder als Programm, das eine Datei liest.
Der konkrete Fehler, der hier gemacht wurde, betrifft nur AVM. Dass es kein prinzipielles Problem ist, solche Fehler zu vermeiden zeigt schon, dass innerhalb kurzer Zeit Updates kamen, die diesen Fehler nicht mehr enthalten.
Konkret nehmen aber viele Hersteller die Sicherheit nicht so ernst, und als Folge sind tatsächlich Angriffe über Kühlschränke, Drucker, Telefone usw. denkbar.
Link als Beispiel ist vom Admin nicht erwünscht, aber Testseite wo man im Quelltext genau diesen Link findet ist ok, nun ja, dann ist es halt so.
koyaanisqatsi
IPPF-Urgestein
- Mitglied seit
- 24 Jan 2013
- Beiträge
- 14,210
- Punkte für Reaktionen
- 590
- Punkte
- 113
HTML:
<img src="http://fritz.box/favicon.ico" alt="Hello Fritz"/>
Zuletzt bearbeitet:
Dann aber dabei auch:
G., -#####o:
HTML:
<img src="http://192.168.178.1/css/default/images/kopfbalken_links.gif" alt="FRITZ!"/>G., -#####o:
Was wird denn damit demonstriert? Sollte man jetzt schon ein Passwort haben, um eine Grafik von der Box anzuzeigen?
Ihr weicht vom Thema ab, sollte doch klar sein, dass Grafiken, CSS Dateien und so frei zugänglich sind.
Wieso ist überhaupt etwas zugänglich - in dem aktuellen Zusammenhang gesehen, unnötig.
Ein Kennwort-geschützter Webserver sollte keinerlei Deep-Links zulassen, das wäre finsterstes Web-Mittelalter des letzten Jahrtausends. Aber das passt dann irgendwie perfekt zu der (ehemals?) weit offenen Telnet-über-HTTP-Schnittstelle.
Es ist kein telnet über HTTP.
Was ist der Nutzen davon, beim Abruf einer statischen Datei ein Passwort zu verlangen?
Was ist der Nutzen davon, beim Abruf einer statischen Datei ein Passwort zu verlangen?
Wenn nichts zugänglich wäre, bliebe die Anmeldeseite (z.B. nach Eingabe von http://fritz.box) leer. :lach:tim70 schrieb:
G., -#####o:
Was wäre gegen eine schlichtere und dafür striktere Anmeldung einzuwenden, zu viel Sicherheit?
@RalfFriedl: Stimmt, da wäre ja eine Anmeldung erforderlich gewesen. ;-) Definieren wir mal um: Völlig unkontrolliertes CGI-Interface.
@RalfFriedl: Stimmt, da wäre ja eine Anmeldung erforderlich gewesen. ;-) Definieren wir mal um: Völlig unkontrolliertes CGI-Interface.
AVM im Interview: Vier externe Sicherheitsfirmen haben den Bug nicht gefunden:
http://www.golem.de/news/avm-im-int...haben-den-bug-nicht-gefunden-1403-105100.html
http://www.golem.de/news/avm-im-int...haben-den-bug-nicht-gefunden-1403-105100.html
koyaanisqatsi
IPPF-Urgestein
- Mitglied seit
- 24 Jan 2013
- Beiträge
- 14,210
- Punkte für Reaktionen
- 590
- Punkte
- 113
Nein, sind sie nicht.
Aber sie haben vorbildlich reagiert.
Hätte ich einen Schaden von €2400 dann hätte AVM eine Mitschuld daran.
Es musste erst ein Reverse Engineer einen Vergleich zweier Firmwares machen,
um diese Sicherheitsspalte, ja Sicherheitscanyon zu erkennen.
Auf die Idee sind vier externe "Sicherheitsfirmen" nicht gekommen.
Deswegen ist AVM noch lange nicht aus der Verantwortung.
Aber sie haben vorbildlich reagiert.
Hätte ich einen Schaden von €2400 dann hätte AVM eine Mitschuld daran.
Es musste erst ein Reverse Engineer einen Vergleich zweier Firmwares machen,
um diese Sicherheitsspalte, ja Sicherheitscanyon zu erkennen.
Auf die Idee sind vier externe "Sicherheitsfirmen" nicht gekommen.
Deswegen ist AVM noch lange nicht aus der Verantwortung.
Neueste Beiträge
-
[Sammlung] AVM-Gateway-kompatible Zigbee-Geräte
- Letzte: Schmutzfee
-
Probleme mit gewissen Telefonnummern
- Letzte: Erdi1
-
Jfritz kann Anrufliste seit FritzBox Labor nicht holen
- Letzte: derneueFritz
-
Fritz!DECT 302 regelt nicht mehr- Letzte: Jstessi
