[Info] 17.2.2014 Hack gegen AVM-Router auch ohne Fernzugang (heise.de)

Wie sieht es aus, wenn du bereits in der Fritz!Box eingeloggt bist und rufst dann in einem anderen TAB den Link auf?
 
Was soll es bringen? Wenn SessionID nicht übergeben wird in der URL ist es eine neue Session und damit ein Login fällig.
 
Das ist ja dann schon mal gut so.
 
Ich hab erst jetzt den referenzierten Beitrag (http://www.ip-phone-forum.de/showthread.php?t=268321) genauer angesehen. Die Seitenaddresse mit integriertem wget scheint genau das Problem Zugriff von innen via präperierter Webseite abzutesten. Da meine Box bereits gepachted ist, dürfte es hier nicht mehr gehen - was ja gut ist. Aus Neugierde würde ich aber gerne wissen, ob meine Vermutung dass derselbe Zugriff auf einer nicht gepatchten, d.h. verletzbaren Box sehr wohl Daten auslesen kann. Wenn ja, dann dürfte wohl genau dieser Fehler das Problem gewesen sein.
(Falls wer in einer Anworet oder dem Ergenis eines Tests auf einer nicht patchten Box ein Sicherheitsproblem für andere sieht - bitte NICHT antworten. Kann's mir zwar nicht wirklich vorstellen, aber vielleicht überseh ich ja was.)

McM
 
Hallöle

Soweit ich das bis jetzt verstanden habe, nutzt diese Lücke einen Mechanismus von dem alle
Webbasierten Anwendungen oder Geräte betroffen sein könnten.
So wäre auch ein Angriff, wie jüngst berichtet wurde, auf SmartTVs vorstellbar.
Oder Lap-, Net- ,Notebooks und Pads. Smartfons, Kühlschränke, SPS ...
 
Also ein Aufruf dieser "Seite" vom INTRA-Net aus bewirkt bei mir nur dem Aufruf der FB Login Seite. Allerdings ist die FB bereits gepacjted (aktuelle Labor für 7270 V2).

Ergo - wenn ich bei der Verwendung nichts falsch gemacht habe ist entweder der Link nicht "gefährlich" (= zeigt keine Geheimnisse an) oder der Patch wirkt.
Ob der Patch wirkt, siehst Du nicht daran, dass die Login Seite kommt.

Soweit ich das bis jetzt verstanden habe, nutzt diese Lücke einen Mechanismus von dem alle Webbasierten Anwendungen oder Geräte betroffen sein könnten.
So wäre auch ein Angriff, wie jüngst berichtet wurde, auf SmartTVs vorstellbar. Oder Lap-, Net- ,Notebooks und Pads. Smartfons, Kühlschränke, SPS ...

Die grundsätzliche Kategorie des Fehlers, der hier gemacht wurde, kann jeden Webserver betreffen, oder noch allgemeiner jedes Programm, das Daten von einem anderen Programm annimmt, ob als Server, als Client oder als Programm, das eine Datei liest.
Der konkrete Fehler, der hier gemacht wurde, betrifft nur AVM. Dass es kein prinzipielles Problem ist, solche Fehler zu vermeiden zeigt schon, dass innerhalb kurzer Zeit Updates kamen, die diesen Fehler nicht mehr enthalten.

Konkret nehmen aber viele Hersteller die Sicherheit nicht so ernst, und als Folge sind tatsächlich Angriffe über Kühlschränke, Drucker, Telefone usw. denkbar.
 
HTML:
<img src="http://fritz.box/favicon.ico" alt="Hello Fritz"/>
So demonstriert, auch ganz ohne Passwort, wird man auch nachdenklich.
 
Zuletzt bearbeitet:
Dann aber dabei auch:
HTML:
<img src="http://192.168.178.1/css/default/images/kopfbalken_links.gif" alt="FRITZ!"/>

G., -#####o:
 
Ihr weicht vom Thema ab, sollte doch klar sein, dass Grafiken, CSS Dateien und so frei zugänglich sind.
 
Ein Kennwort-geschützter Webserver sollte keinerlei Deep-Links zulassen, das wäre finsterstes Web-Mittelalter des letzten Jahrtausends. Aber das passt dann irgendwie perfekt zu der (ehemals?) weit offenen Telnet-über-HTTP-Schnittstelle.
 
Was wäre gegen eine schlichtere und dafür striktere Anmeldung einzuwenden, zu viel Sicherheit?

@RalfFriedl: Stimmt, da wäre ja eine Anmeldung erforderlich gewesen. ;-) Definieren wir mal um: Völlig unkontrolliertes CGI-Interface.
 
Nein, sind sie nicht.
Aber sie haben vorbildlich reagiert.
Hätte ich einen Schaden von €2400 dann hätte AVM eine Mitschuld daran.
Es musste erst ein Reverse Engineer einen Vergleich zweier Firmwares machen,
um diese Sicherheitsspalte, ja Sicherheitscanyon zu erkennen.
Auf die Idee sind vier externe "Sicherheitsfirmen" nicht gekommen.
Deswegen ist AVM noch lange nicht aus der Verantwortung.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.