[Info] 17.2.2014 Hack gegen AVM-Router auch ohne Fernzugang (heise.de)

[Gobi04]

Wie sieht es aus, wenn du bereits in der Fritz!Box eingeloggt bist und rufst dann in einem anderen TAB den Link auf?

 

[HabNeFritzbox]

Was soll es bringen? Wenn SessionID nicht übergeben wird in der URL ist es eine neue Session und damit ein Login fällig.

 

[Gobi04]

Das ist ja dann schon mal gut so.

 

[mcm57]

Ich hab erst jetzt den referenzierten Beitrag (http://www.ip-phone-forum.de/showthread.php?t=268321) genauer angesehen. Die Seitenaddresse mit integriertem wget scheint genau das Problem Zugriff von innen via präperierter Webseite abzutesten. Da meine Box bereits gepachted ist, dürfte es hier nicht mehr gehen - was ja gut ist. Aus Neugierde würde ich aber gerne wissen, ob meine Vermutung dass derselbe Zugriff auf einer nicht gepatchten, d.h. verletzbaren Box sehr wohl Daten auslesen kann. Wenn ja, dann dürfte wohl genau dieser Fehler das Problem gewesen sein.
(Falls wer in einer Anworet oder dem Ergenis eines Tests auf einer nicht patchten Box ein Sicherheitsproblem für andere sieht - bitte NICHT antworten. Kann's mir zwar nicht wirklich vorstellen, aber vielleicht überseh ich ja was.)

McM

 

[scolopender]

... dass derselbe Zugriff auf einer nicht gepatchten, d.h. verletzbaren Box sehr wohl Daten auslesen kann.

Kann er.

G., -#####o:

 

[koyaanisqatsi]

Hallöle

Soweit ich das bis jetzt verstanden habe, nutzt diese Lücke einen Mechanismus von dem alle
Webbasierten Anwendungen oder Geräte betroffen sein könnten.
So wäre auch ein Angriff, wie jüngst berichtet wurde, auf SmartTVs vorstellbar.
Oder Lap-, Net- ,Notebooks und Pads. Smartfons, Kühlschränke, SPS ...

 

[RalfFriedl]

Also ein Aufruf dieser "Seite" vom INTRA-Net aus bewirkt bei mir nur dem Aufruf der FB Login Seite. Allerdings ist die FB bereits gepacjted (aktuelle Labor für 7270 V2).

Ergo - wenn ich bei der Verwendung nichts falsch gemacht habe ist entweder der Link nicht "gefährlich" (= zeigt keine Geheimnisse an) oder der Patch wirkt.

Ob der Patch wirkt, siehst Du nicht daran, dass die Login Seite kommt.

Soweit ich das bis jetzt verstanden habe, nutzt diese Lücke einen Mechanismus von dem alle Webbasierten Anwendungen oder Geräte betroffen sein könnten.
So wäre auch ein Angriff, wie jüngst berichtet wurde, auf SmartTVs vorstellbar. Oder Lap-, Net- ,Notebooks und Pads. Smartfons, Kühlschränke, SPS ...

Die grundsätzliche Kategorie des Fehlers, der hier gemacht wurde, kann jeden Webserver betreffen, oder noch allgemeiner jedes Programm, das Daten von einem anderen Programm annimmt, ob als Server, als Client oder als Programm, das eine Datei liest.
Der konkrete Fehler, der hier gemacht wurde, betrifft nur AVM. Dass es kein prinzipielles Problem ist, solche Fehler zu vermeiden zeigt schon, dass innerhalb kurzer Zeit Updates kamen, die diesen Fehler nicht mehr enthalten.

Konkret nehmen aber viele Hersteller die Sicherheit nicht so ernst, und als Folge sind tatsächlich Angriffe über Kühlschränke, Drucker, Telefone usw. denkbar.

 

[HabNeFritzbox]

Edit von Christoph: URL entfernt aus Sicherheitsgründen. Bitte nicht erneut posten.

Link als Beispiel ist vom Admin nicht erwünscht, aber Testseite wo man im Quelltext genau diesen Link findet ist ok, nun ja, dann ist es halt so.

 

[koyaanisqatsi]

<img src="http://fritz.box/favicon.ico" alt="Hello Fritz"/>

So demonstriert, auch ganz ohne Passwort, wird man auch nachdenklich.

 

[scolopender]

Dann aber dabei auch:

<img src="http://192.168.178.1/css/default/images/kopfbalken_links.gif" alt="FRITZ!"/>

G., -#####o:

 

[RalfFriedl]

So demonstriert, auch ganz ohne Passwort, wird man auch nachdenklich.

Was wird denn damit demonstriert? Sollte man jetzt schon ein Passwort haben, um eine Grafik von der Box anzuzeigen?

 

[HabNeFritzbox]

Ihr weicht vom Thema ab, sollte doch klar sein, dass Grafiken, CSS Dateien und so frei zugänglich sind.

 

[tim70]

Ihr weicht vom Thema ab, sollte doch klar sein, dass Grafiken, CSS Dateien und so frei zugänglich sind.

Wieso ist überhaupt etwas zugänglich - in dem aktuellen Zusammenhang gesehen, unnötig.

 

[andilao]

Ein Kennwort-geschützter Webserver sollte keinerlei Deep-Links zulassen, das wäre finsterstes Web-Mittelalter des letzten Jahrtausends. Aber das passt dann irgendwie perfekt zu der (ehemals?) weit offenen Telnet-über-HTTP-Schnittstelle.

 

[RalfFriedl]

Es ist kein telnet über HTTP.

Was ist der Nutzen davon, beim Abruf einer statischen Datei ein Passwort zu verlangen?

 

[scolopender]

Wieso ist überhaupt etwas zugänglich ...

Wenn nichts zugänglich wäre, bliebe die Anmeldeseite (z.B. nach Eingabe von http://fritz.box) leer. :lach:

G., -#####o:

 

[andilao]

Was wäre gegen eine schlichtere und dafür striktere Anmeldung einzuwenden, zu viel Sicherheit?

@RalfFriedl: Stimmt, da wäre ja eine Anmeldung erforderlich gewesen. ;-) Definieren wir mal um: Völlig unkontrolliertes CGI-Interface.

 

[sibsnonto]

AVM im Interview: Vier externe Sicherheitsfirmen haben den Bug nicht gefunden:
http://www.golem.de/news/avm-im-int...haben-den-bug-nicht-gefunden-1403-105100.html

 

[scolopender]

Dann ist AVM unschuldig.

G., -#####o:

 

[koyaanisqatsi]

Nein, sind sie nicht.
Aber sie haben vorbildlich reagiert.
Hätte ich einen Schaden von €2400 dann hätte AVM eine Mitschuld daran.
Es musste erst ein Reverse Engineer einen Vergleich zweier Firmwares machen,
um diese Sicherheitsspalte, ja Sicherheitscanyon zu erkennen.
Auf die Idee sind vier externe "Sicherheitsfirmen" nicht gekommen.
Deswegen ist AVM noch lange nicht aus der Verantwortung.