[Info] 17.2.2014 Hack gegen AVM-Router auch ohne Fernzugang (heise.de)

[Micha0815]

Zu #518

Ich habe bisher nur einen Hinweis von cyberport.de erhalten, die dies auch transparent zugeben.

... Sicherheitsmaßnahmen bei Cyberport
Der in OpenSSL entdeckte Programmierfehler "Heartbleed" ermöglicht es Fremden, Zugriff auf sensible Daten zu erhalten. Nach Bekanntwerden dieser Sicherheitslücke stellte der OpenSSL-Anbieter eine neue und aktualisierte Version zur Verfügung, die den Fehler behebt. Wir haben diese aktuelle OpenSSL-Version umgehend in unsere sicherheitsrelevanten Online-Dienste eingespielt, sodass der Cyberport-Webshop nicht mehr vom "Heartbleed-Bug" betroffen ist.

Wir empfehlen: Alle Passwörter ändern
Da die "Heartbleed"-Sicherheitslücke bereits seit zwei Jahren unerkannt in OpenSSL existiert, liegt es im Bereich des Möglichen, dass sie von Hackern missbraucht wurde, um an sensible Daten wie Passwörter, Adress- oder Kreditkartendaten zu gelangen. Wir empfehlen Ihnen deshalb, die Passwörter all Ihrer Online-Anwendungen zu ändern, bspw. die Passwörter für Ihr Cyberport-Kundenkonto und für Ihr E-Mail-Postfach. Auch sollten Sie sich bei den von Ihnen genutzten Online-Plattformen erkundigen, inwieweit diese vom "Heartbleed-Bug" betroffen sind. ...

Beim Querlesen stiess ich auf einen bemerkenswerten -zum Thema passenden- Artikel, der sich mit der Zeitspanne von der "Geburt" eines/r Chips/Komponente bis zur Auslieferung des Fertigproduktes beim Kunden beschäftigt.

LG

 

[HabNeFritzbox]

Macht besser extra Thema zur openSSL Lücke bei Allgemein, hier geht es immer noch um Hack bei AVM.

 

[koyaanisqatsi]

Moin

Nicht nur bei Allgemein.
Bei freetz scheint dieses Thema gerade durch zu sein.

 

[MuP]

Zum Lesen:
http://www.heise.de/newsticker/meld...itzbox-Update-geraet-ins-Stocken-2173043.html

 

[koyaanisqatsi]

Oh, je.
Warum updaten die nicht?
Sogar eine Testseite ist haben sie, bei mir kommt beim fritz.box Test...

Fehler: Netzwerk-Zeitüberschreitung

Der Server unter 169.254.1.1 braucht zu lange, um eine Antwort zu senden.

(Die Notfall IP hab ich auf eine andere Nummer gelegt)

 

[scolopender]

... bei mir kommt beim fritz.box Test...

Bei mir auch - ich habe nämlich keine FRITZ!Box als Frontend. Böse Zungen behaupten, ich wüsste, warum. :lach:

G., -#####o:

 

[erik]

Oh, je. Warum updaten die nicht?

Das kann ich Dir gerne beantworten: Die meisten Nutzer interessieren sich nicht dafür wie und warum eine Technik funktioniert sondern sie kümmern sich so lange nicht darum bis sie nicht mehr funktioniert oder andere Unstimmigkeiten auftreten. Dann gibt es noch Nutzer die schon einmal nach einem Update bestimmte Funktionen vermissten (z.B. WDS) und deshalb am laufenden System nichts mehr ändern.
Gerade die 7390 mit ihrem eigenwilligen Modem harmoniert je nach Firmwarestand mal besser und mal schlechter mit dem DSLAM an dem sie angeschlossen ist, was natürlich auch nicht gerade ein Argument für Änderungen am laufenden System darstellt. Die unter Downgrade auf dem FTP-Server bereitgestellten gefixten älteren Versionen hat AVM auch viel zu wenig bekannt gemacht, sie sind aber auch ein Zeichen für die Problematik der Updates bei der 7390, wo bestimmte Funktionen (PPPoE-Passthrough, WDS usw.) immer mal wieder entfielen und wo auch die Kompatibilität in bestimmten Umgebungen manchmal nicht gewährleistet war.

AVM sollte daraus lernen daß man
1. standardmäßig Updates automatisch laden lassen sollte und
2. niemals mittels automatischem Update vorhandene Funktionen entfernen darf.

Diese Voreinstellung sollte natürlich im Expertenmodus abzustellen sein, aber dazu muß der User natürlich bewußt tätig werden und damit übernimmt er dann auch die Verantwortung für die weitere Pflege und Überwachung der installierten Firmware.

 

[koyaanisqatsi]

In der gerade aktuellen 7270v2er FRITZ!OS: 06.04-27861 BETA haben sie es gleich zweimal getan:

1. Die debug.cfg wird beim Start der Box nicht mehr angelegt und ausgeführt.
2. Aus allcfgconv wurde der -c Switch entfernt.

Wenn der Sicherheitspatch greift, frage ich mich: Warum haben sie das gemacht?

 

[erik]

Diese Änderungen sind aber nur für Experten relevant, ein normaler Nutzer der AVM-Firmware und -Tools benutzt bemerkt das gar nicht.

AVM versucht immer noch OS 6 auf 7270 und 7240 zu bekommen um die Boxen dann in Rente zu schicken, denn die Hardware ist offenbar ausgereizt. Dazu ist offenbar jedes Mittel recht :-(

 

[scolopender]

Warum haben sie das gemacht?

Weil sie alle verbliebenen Sicherheitslöcher noch nicht kennen.

G., -#####o:

 

[HabNeFritzbox]

Und selbst wenn, interessiert es manche eh nicht, erst wenn es kostet. Nach dem Motto mir passiert es doch eh nicht.

 

[koyaanisqatsi]

Moin

Es gibt bestimmt echt krasse Techniken wie eine Webseite auf unseren Netzwergeräten lokal rummachen kann.
Deswegen sollte sich jeder ernsthaft Gedanken machen wie man sein lokales Netz vor sowas schützen kann.
Ich hab mich im Zuge, der mir relativ neuen Technik, base64 Daten direkt im Browser aufzurufen, mal experimentierfreudig gezeigt.
Sowas kamm dann dabei heraus...

#!/bin/sh
echo 'Content-type: text/html; charset="utf-8"
Refresh: 10;URL=data:text/html;base64,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
'
echo '<!DOCTYPE html>
<html>
<head>
<title>Tagchen</title>
</head>
<body>
<img src="favicon.ico" alt="Guten Tag"/>
</body>
</html>
'
#EOF

...lokale UPnP Abfragen über eine Internetseite.
Sowas geht nicht nur mit UPnP.
JSON ist genauso möglich.
Und somit die Fernsteuerung von Geräten über eine kompromitierende Webseite.

Der Code in den base64 Daten ist übrigens was harmloses....

<html> <head> <meta http-equiv="refresh" content="3;URL=http://fritz.fonwlan.box:49000/igdconnSCPD.xml"> <title>Test</title> </head> <body> <a href="http://fritz.box:49000/any.xml">any.xml</a> <br/> <a href="http://fritz.box:49000/igddesc.xml">igddesc.xml</a> <br/> <a href="http://fritz.box:49000/igdicfgSCPD.xml">igdicfgSCPD.xml</a> <br/> <a href="http://fritz.box:49000/igddslSCPD.xml">igddslSCPD.xml</a> <br/> <a href="http://fritz.box:49000/igdconnSCPD.xml">igdconnSCPD.xml</a> <br/> <a href="http://fritz.box:49000/http://fritz.box:49000/MediaReceiverRegistrar.xml">MediaReceiverRegistrar.xml</a> <br/> <a href="http://fritz.box:49000/MediaServerConnectionManager.xml">MediaServerConnectionManager.xml</a> </body> </html>

Diesen Base64 Code kann man auch direkt in die Adresszeile des Browsers kopieren und aufrufen...

data:text/html;base64,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

Das klappt bei Firefox und Google Chrome.
Der Internetexplorer machts komischerweise nicht.
Weder über den HTTP Refresh Header, als auch direkt in der Adresszeile.
Ist es beim IE eine Inkompatibilität oder ein Sicherheitsfeature?

EDIT:
Richtig ärgerlich wirds, wenn ein lokaler Proxy mit URL Filter eingesetzt wird, um sich auf lokale Zugriffe
über den Webbrowser beim surfen zu schützen. Denn so eine base64 Weiterleitung im Header oder Link
wird vom Browser nicht von dem Proxy abgefragt, sondern als lokaler Link direkt ausgeführt.

 

[kingbecher]

Vorallem mit "01815" Routern die uralt Firmware aufgespielt haben.

 

[informerex]

aktuelle Meldung von AVM

ich hol diesen Thread aus "gegebenem Anlass" nochmals aus der Versenkung - da hier evtl. auch viele Abonnenten sind, damit die Info schnell/gezielt ankommt

Telefonmissbrauch bei RouternIn den letzten Tagen kam es in einzelnen Fällen zu Telefonmissbrauch in Verbindung mit Routern. Bezüglich der FRITZ!Box ist dies nach aktuellem Stand nur mit selten genutzten Konfigurationen in Verbindung mit älteren FRITZ!OS-Versionen möglich. AVM erhöht kontinuierlich die Leistungsmerkmale und Sicherheitsstandard der FRITZ!Box und empfiehlt daher grundsätzlich den Einsatz der jeweils neuesten Version, aktuell FRITZ!OS 6.50 oder höher. Auf der Benutzeroberfläche lässt sich die verwendete Version überprüfen und ein Update ausführen.


Für FRITZ!Box-Cable-Modelle stellen die jeweiligen Kabel-Provider das aktuellste Update bereit.

Weitere Tipps zur Sicherheit finden Sie im Ratgeberbereich.
Quelle: AVM 07.06.2016

 

[informerex]

ping-Anrufe sind hier bestimmt nicht gemeint.
eher Zugriffe über Internet/IP

jedoch ist die AVM-Meldung SEHR schwammig, denn es sind ja keinerlei Modell angegeben

 

[Peter1980]

Danke fürs Posten! Aber Du hast Recht, es stimmt, dass die Nachricht schwammig ist. Nutze selbst auch eine Fritzbox, gibt es denn inzwischen eine Liste mit betroffenen Modellen oder weitere Infos zu dem Problem?

 

[qwertz.asdfgh]

-> [thread]286181[/thread]

Dort sind m.E. alle bisher bekannten Spekulationen dazu zu finden.

 

[Micha0815]

Erstaunlich für mich, dass sich das nicht irgendwann herumgesprochen hat mit den Updates.
LG
P.S.: Welches Modell mit welcher Firmware da wohl im Einsatz war, dass die Einrichtung eines IP-Phones ohne 2FA klappte?

 

[deoroller]

Was soll man bei Leuten machen, die sich absichtlich Updates verweigern? Die sind für die Folgen ihres Handelns, bzw. Nichthandelns natürlich haftbar.
Die Haftung kann man einem nur abnehmen, wenn er sich an Grundregeln hält.

Bei VDSL ist es kaum möglich mit einer alten Firmware online zu sein, weil die mit aktuellen DSLAM nicht mehr zurechtkommen. Abenso muss die Box schon Annex J können bei ADSL.
Die Lücke wurde bei der 7170 2014 noch gestopft.

 

[PeterPawn]

Das kann jede beliebige Malware von der LAN-Seite genauso gut einrichten, wenn es (a) eine LAN-Verbindung vom infizierten Gerät zur Box gibt und (b) die Box irgendwann beim Starten "erwischt" wird (sofern man den Start nicht sogar durch einen Absturz selbst provozieren kann). Genauso, wie man eben die Anmeldung in einer Box mit einem eigenen Image umstellen kann (das geht bei allen Modellen) oder eigene Programme nachträglich "einpflanzen" kann (zumindest bei den VR9-Modellen mit wrapper-Partition), genauso kann man auch eigene Accounts hinzufügen - von Benutzerkonten bis zu SIP-Accounts.

Aber auch das muß ja eigentlich gar nicht sein ... wenn man einfach die Wählhilfe dazu bekommt, daß sie die fraglichen Nummern wählt (umgestellt auf ein gar nicht angeschlossenes analoges Telefon an FON2), dann muß man da gar nichts "hacken". Wenn ich mich richtig erinnere, gibt es für diese Einstellung keinerlei zusätzliche Hindernisse jenseits einer gültigen SID (also einer GUI-Session) ... zusätzliche Hürden wurden erst mit der 2FA überhaupt eingeführt. Jedenfalls klingen Abstände von 10 Sekunden zwischen den Anrufen eher nach der Wählhilfe als nach einem SIP-Client ... warum sollte der so behäbig vorgehen?

Den Vogel schießen dann auch heute noch die Boxen ab, die dank uneinsichtiger Nutzer ("ICH habe mein ganzes LAN im Griff, da kommt keiner rein.") im LAN "ohne Anmeldung" erreichbar sind und möglichst noch die 2FA ausgeschaltet haben. Irgendwelche Lücken im GUI, über die man Shell-Kommandos ausführen kann (auch das Einrichten eines IP-Telefons mit "ctlmgr_ctl" ist ja eine Möglichkeit - oder man nimmt das LUA-Variableninterface), gab es ja zuhauf - auch noch in neueren Versionen, die nach "webcm-Gate" (das war Anfang 2014) erschienen sind.