[Info] 17.2.2014 Hack gegen AVM-Router auch ohne Fernzugang (heise.de)

[norman02us]

Nur zur Info:

Bei mir hat 1&1 das Update auf 6.03 (von 6.01) vor einigen Tagen zwangsweise aus der Ferne eingespielt, ohne eine Benachrichtigung!
Ist mir nur aufgefallen, weil die Box jetzt nicht mehr stabil läuft mit 6.03 und sich der Sync verschlechtert hat. Hab den Haken bei den Anbieterdiensten nach dem letzten Recover wohl nicht deaktiviert.

 

[effmue]

Guude,

[...]wird mir Angst und Bange.[....]

..was zum Thema "Angst und Bange" generell einmal anzumerken wäre:
Kontrolliert oftmals Eure aktiven Accounts und wechselt deren Passwörter periodisch....richtet Kostensperren (wo möglich) ein und seht ab nun wirklich Euren Telefonie-Account ähnlich wie den evtl. vorhandenen Online-Bankdatenzugang als "hochsicherheitswürdig/-schützenswert" an.

....deine Werte alleine es sind, schützen nur du sie kannst.....

PS...übrigens: nix gegen Eure aktuellen Verschwörungstheorien "Wie, Wo und wer mit welcher Intension und welchen Methoden und vor allem woher und wahrscheinlich liest Obi alles mit und dann die Reroutings..."

Als langjähriges aktives Mitglied im IPPF verwundert es mich, dass solche externen Zugriffs-Lücken trotzdem existier(t)en....... (...und wir es hier im IPPF nicht selbst bemerkt ha(tt)ben.....)

 

[RalfFriedl]

Warum nicht einfach in der Windows-hosts-Datei auch die IP 169.254.1.1 auf 127.0.0.1 umleiten?

Weil es eine IP-Adresse ist und kein Hostname. Ein Name wird in der hosts Datei gesucht, um eine IP-Adresse zu finden, eine IP-Adresse wird direkt verwendet.

 

[koyaanisqatsi]

Aha, hab mich schon gewundert, warum es nicht funktioniert.
Abbruch
....ifconfig lan:0 down....

 

[Freetz!Box]

Dass ist mir neu, denn heise sagt genau das Gegenteil. Nämlich dass das Aufspielen der gepatchten Firmware generell schützt, nicht nur von außen.

War eigentlich zu erwarten. Nachdem ich Hannos Beitrag las, hatte ich die Befürchtung das es in Panikmache ausartet und Leute verunsichert. Genau so ist es gekommen. Und nach Kommentaren unterm heise-Artikel zu urteilen haben einige nur die Hälfte gelesen. Manch einer glaubt mittlerweile an eine Sicherheitslücke weil der Speedtest auf der AVM-Seite die Firmware-Version anzeigt. Dabei handelt es sich wie gesagt um heise.de-Leser. Da kann man sich ausmalen was es für eine Wirkung hat bei Leuten die heute durch RTL-Aktuell informiert wurden. Da hieß es nämlich lediglich Sicherheitslücke größer als angenommen. Das war der ganze Nachrichteninhalt zum Thema.

 

[nordicwalker]

Weil die Kriminelle Energie schon immer ausgeprägter war, als die sexuelle Energie.

Ich habe meinen W920V seit gestern mit der 75.04.92 an ADSL2+ over ISDN aufgerüstet. Davor hatte ich die meiste Zeit die Originale Firmware drauf. IP Telefonie betreibe ich nicht. Könnte dennoch jemand an meine Zugangsdaten gelangt sein und sich damit kriminelle Bilder oder andere Kriminalitäten verschafft/begangen haben ?

 

[edward]

AVM hat eine Übersichtliste der betroffenen und nicht betroffenen Boxen online gestellt.
Deutsche Boxen
Internationale Boxen

 

[stanleys]

Und @skyteddy weis offensichtlich mehr zu den Speedports:
http://www.heise.de/security/news/f...edport-W-920v/forum-274943/msg-24806475/read/

Die T aber auch:
http://www.t-online.de/computer/sic...heitsluecke-noch-groesser-als-angenommen.html

Die Speedport-Modelle der Deutschen Telekom sind nicht von der Sicherheitslücke betroffen. Die Funktion, die bei den AVM-Geräten missbraucht wird, ist in den Telekom-Produkten nicht implementiert, teilte die Telekom bereits vergangene Woche mit.

:gruebel:

 

[Centauri39]

Heute Nacht, etwa um 3:30h, hat mein Anbieter wohl versucht, ein Update aufzuspielen.
Da gibt es nämlich diesen Eintrag in den Ereignissen:

Automatische Einrichtung und Updates für dieses Gerät durch den Dienstanbieter nicht möglich: Verbindung zum Autokonfigurationsserver fehlgeschlagen.

Ich hab das Update doch schon längst.

 

[koyaanisqatsi]

Moin

Grad auf N24 wurde berichtet:
Sicherheitslücke doch größer als bisher angenommen.
Mit Videoschnipsel von Heise (auslesen der Daten).
Und Schnellanleitung zum Firmwareupdate (über Assistenten).
Besser als RTL.

Als langjähriges aktives Mitglied im IPPF verwundert es mich, dass solche externen Zugriffs-Lücken trotzdem existier(t)en....... (...und wir es hier im IPPF nicht selbst bemerkt ha(tt)ben.....)

Mich wunderts nicht, denn um Sicherheitslücken aufzudecken sollten sie auch aufgezeigt werden.
Und Anleitungen zum hacken, egal ob echte Hacks oder nur die Umgehung der Kindersicherung, werden im IPPF nicht gern gesehen und ganz schnell gelöscht.
Beziehungsweide: Der Thread wird dann geschlossen.
Was ich durchaus verständlich finde.

Nichtsdestrotrotz diskutieren und kommunizieren wir darüber,
und ganz nebenbei haut der Eine oder Andere einen Sicherheitstip raus.
Ich finds spannend und lerne durch diese Krise einiges dazu.

Fehlen tun mir etwas mehr Betroffenenaussagen.
Aber mit seinen Schaden möchte Niemand hausieren gehn.
Von daher verständlich, trotzdem möchte ich ermutigen davon hier zu berichten.
Das kann nur von Vorteil sein.

 

[ktw2003]

Sorry, aber warum sehen hier einige die Notfall-IP 169.254.1.1 als Problem an? Solange ich per DHCP eine IP-Adresse beziehe, greift die Notfall-IP doch gar nicht und ist auch nicht erreichbar. Nur wenn DHCP ausfällt und mein Client selbst auf 169.254.X.X zurückfällt (mangels DHCP) ist die Notfall-IP erreichbar.

Somit sollte wie zuvor auch bereits schon gepostet ein einfaches Sperren von fritz.box per Windows-Hosts und wechseln des DHCP-Bereichs von 192.168.178.X weg den besten Schutz bieten. [Die Aussage bezieht sich nur auf das Abwehren des Auslesens von innen durch eine manipulierte Webseite.]

Nachtrag: Es ist wirklich ein Problem. Siehe nachfolgendes Posting.

 

[koyaanisqatsi]

Die Notfall IP greift (lokal) schon.
Besonders dann, wenn man der Meinung ist: Alles Sicher, alles schick.
Dazu muss nur die Standardeinstellung der Netzwerkgeräte und Fritz!Box gelten.
Benutzt du einen anderen DNS-Server, als den der Fritz!Box?
Denn wenn die Fritz!Box DNS macht findet sie auch die Notfall-IP.

Die Notfall-IP ist eine Konstante, wie der Domänenname fritz.box.
Das macht es knifflig, und angreifbar.
Variabel (änderbar, übers Webinterface) ist nur die IP der Fritz!Box selber.

 

[ktw2003]

Mach doch bitte mal einen PING auf 169.254.1.1 und poste den Output.

 

[koyaanisqatsi]

Pöh....

OpenELEC (official) Version: 3.2.4
openelec:~ # route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         fritz.box       0.0.0.0         UG    0      0        0 eth0
192.168.178.0   *               255.255.255.0   U     0      0        0 eth0
192.168.178.1   *               255.255.255.255 UH    0      0        0 eth0
openelec:~ # ping -c3 169.254.1.1
PING 169.254.1.1 (169.254.1.1): 56 data bytes
64 bytes from 169.254.1.1: seq=0 ttl=64 time=1.097 ms
64 bytes from 169.254.1.1: seq=1 ttl=64 time=0.910 ms
64 bytes from 169.254.1.1: seq=2 ttl=64 time=0.912 ms

--- 169.254.1.1 ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 0.910/0.973/1.097 ms
openelec:~ #

...wenn wir schon dabei sind...

openelec:~ # curl 169.254.1.1
<!DOCTYPE html>
<html>
<head>
<title>FRITZ!Box</title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<meta http-equiv="expires" content="0">
<!--<link rel="shortcut icon" type="image/x-icon" href="/favicon.ico" />-->
<script type="text/javascript">
var g_HelpWin = null;
</script>
</head>
<frameset id="frame_set" rows="*">
<frame src="/logincheck.lua" id="frame_content" scrolling="auto" frameborder="0" />
</frameset>
<noframes>
<body>
<p>Ihr Browser unterstützt keine XHTML-Frames.</p>
<p>Sie können die <a href="/logincheck.lua">FRITZ!Box Benutzeroberfläche</a> aber trotzdem ohne Einschränkung nutzen.</p>
</body>
</noframes>
</html>
openelec:~ #

...jetzt mal ändern auf Googles DNS, als Simulation...

fritz.box # ifconfig lan:0 down ; ifconfig lan:0 8.8.8.8
fritz.box # ifconfig lan:0
lan:0     Link encap:Ethernet  HWaddr 9C:C7:A6:XX:XX:XX
          inet addr:8.8.8.8  Bcast:8.255.255.255  Mask:255.0.0.0
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
fritz.box # route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.180.1   *               255.255.255.255 UH    2      0        0 dsl
217.237.151.51  *               255.255.255.255 UH    2      0        0 dsl
192.168.180.2   *               255.255.255.255 UH    2      0        0 dsl
93.220.XX.XX    *               255.255.255.255 UH    2      0        0 dsl
217.237.149.205 *               255.255.255.255 UH    2      0        0 dsl
192.168.178.0   *               255.255.255.0   U     0      0        0 lan
192.168.179.0   *               255.255.255.0   U     0      0        0 guest
8.0.0.0         *               255.0.0.0       U     0      0        0 lan
default         *               0.0.0.0         U     2      0        0 dsl

...der Gegentest...

openelec:~ # ping -c3 169.254.1.1
PING 169.254.1.1 (169.254.1.1): 56 data bytes

--- 169.254.1.1 ping statistics ---
3 packets transmitted, 0 packets received, 100% packet loss
openelec:~ # curl 169.254.1.1
curl: (7) Failed connect to 169.254.1.1:80; Connection refused
openelec:~ #

...so isses.

 

[ktw2003]

OK, danke für die Bestätigung. Somit ist die Standardkonfiguration wie von Dir beschrieben leider sehr bescheiden und die Notfall-IP stellt wirklich ein Problem dar. War mir dessen nicht bewusst, da ich auch bereits seit Ewigkeiten dnsmasq verwende und dies somit nicht nachstellen konnte.

 

[andilao]

Die Notfall-IP stellt nur ein Problem dar, weil sie für alle Boxen verlässlich konstant ist.

Wenn man also fritz.box per HOSTS auf zB. localhost verbiegt, die Notfall-IP, HTTPS- und HTTP-Port in der Box ändert und (für ganz sicherheitsbewusste Paranoiker) nur noch im Gast LAN/WLAN surft, dürften sogar unsichere Boxen und zukünftige Angriffsszenarien kein Problem darstellen.

 

[ws65]

Hallo,

nachdem ich hier schon einige Zeit mitlese, weis ich nicht mehr so richtig was ich machen soll.

Bin zwar ein Fan der Fritzboxen, habe Fernzugang abgeschaltet, nur nach eine VPN Verbindung zur FB, aber immer noch ein ungutes Gefühl.

Hier sind ja viele Profi´s unterwegs, wozo ich mich eigentlich nicht zähle.
Hab einige Computer- und Netzwerkerfahrung, möchte aber nicht mit Telnet oder ähnliches auf meine Boxen irgenwas verändern.

Was ist den einfachen unerfahrenen Internetznutzern zu raten?

Fritzbox abklemmen? aber was nehme ich dann?

Bin durchaus bereit etwas in die Sicherheit zu investieren, eventuell bis der Spuk vorbei ist ein Telekom Gerät zu mieten!
Aber welches?
und meine 7170 als Telefonanlage dahinter ist ja dann immer noch gefährdet?

Für mich sehe ich im Moment nur die Möglichkeit Telekomrouter zu mieten und eine ganz alte Fritzfon Wlan als Telefonanlage einzurichten.

ich hoffe AVM bekommt die Sache irgenwann mal wieder in Griff und ich kann dann wieder meine Fritzboxen anschließen, möchte ungern auf die vielen Komfertfunktionen verzichten.
Fritz!Fon, Fritz!Dect, Anrufmonitor, BoxToGo, VPN, usw.

 

[SF1975]

Hallo,
Deine Boxen (lt. Sig) sollten mittels Update doch nun sicher sein. Andere Hersteller sind sicherlich nicht besser/aktueller, sofern sie sich an private Nutzer richten.

 

[ws65]

Update hab ich ja alle die neuesten drauf, aber das ungute Gefühl bleibt, warum sonst ist dieses Theared noch so aktiv?

Die Bedenken mit andere Hersteller hatte ich auch schon, die Telekom schreibt ja, unsere Router sind sicher!, aber wie lange noch?

ist einfach eine verzwickte Lage.

 

[SF1975]

Hallo,
Hier sind im Moment eine Menge Leute unterwegs, die sich tiefer in der Materie auskennen. Sicher ist nichts, außer, dass nichts sicher ist .
Ich kontrolliere nun auch des öfteren meine Daten (Sipgate, 1&1, andere Foren, Online-Banking). Aber ein gewisses Vertrauen muss man haben...