[Info] 17.2.2014 Hack gegen AVM-Router auch ohne Fernzugang (heise.de)

Es hat nichts mit dnsmasq zu tun. Wie bereits geschrieben ist die Box als Default Gateway am PC eingetragen. Der PC schickt daher alle Pakete an die Box, diese kennt die Notfalladresse und nimmt die Pakete an.
 
@SF1975
nochmal Danke für Deine Antworten.
beruhigt mich schon etwas.
Richtig, sicher ist nichts, aber mit der gewissen Vorsicht, müssten wir auch das überstehen!

Ich denke auch selbst wenn da noch irgendwo ein Leck sein sollte, müssen da doch schon richtige Profi´s mit viel krimineller Energie am Werk sein.

So einfach wie manche schreiben dürfte das dann doch nicht sein.

Also, immer nach Updates schauen und abwarten.

Gruß ws
 
...aber das ungute Gefühl bleibt, warum sonst ist dieses Theared noch so aktiv?
Einfach, weil es ein Diskussionsthema ist und weil es immer noch viele Leute gibt, die noch nicht upgedated haben. Lieber einmal zu viel warnen, als einmal zu wenig. ;)
Ich denke auch selbst wenn da noch irgendwo ein Leck sein sollte, müssen da doch schon richtige Profi´s mit viel krimineller Energie am Werk sein.
Für den Anfang ja. Irgendwann hat sich das aber herum gesprochen und die relevanten http-Kommandos sind im Umlauf. Ab da kann dann jeder mäßig begabte Script-Kiddie das für seine Belange nutzen. Und ja, ob Script-Kiddie oder Bot-Programmierer: Die haben alle erhebliche kriminelle Energie, auch wenn der Script-Kiddie es eher als Kavaliersdelikt ansehen würde, anderer Leute Netzwerk zu hacken...
Weiterhin ist diese Lücke schon sehr lukrativ. Stellt euch mal vor, wieviele Fritzboxen angreifbar sind. So schnell und unabhängig von irgendwelchen besser überwachbaren PCs, auf denen auch noch so nervige Virensoftware u.a. läuft, kann man sich doch kein Botnetz zusammenstellen. Diese Dinger auf einem Router sind (fast) nicht auffindbar und gehen ihrer Aufgabe auch dann noch nach, wenn alle PCs ausgeschaltet sind. Wenn der PC Probleme hat, kommt der zu 'nem Computerschrauber, der den dann mit Boot-DVD auf Herz und Nieren untersucht. Leider findet der den Trojaner/den Bot (auf dem Router) nicht, weil er ja nur den PC vor sich hat und der Router bleibt als TK-Anlage zuhause bei Herrchen und Frauchen vom Fritz.
 
Hallo,

nach langer Abstinenz hat mich die aktuelle Fritz-Thematik wieder ins Forum gezogen...

Mein erster Gedanke zum XSRF war auch, den DNS-Namen zu ändern (IP der Box hatte ich schon abseits der ...178.1).
Wieso um Himmels-Willen hardcoded man einen DNS-Eintrag?

Habs gerade mal probiert:
strings ../freetz-2.0-trunk/build/original/filesystem/sbin/multid | grep fritz
fritz
fritz.box
fritz.powerline
fritz.repeater

Hat schon jemand probiert das einfach mit einem Hexeditor zu patchen?

Die IP-Adresse habe ich nicht gefunden? Kommt die aus den Urladerenviroments?
 
Zuletzt bearbeitet:
Ein ungutes Gefühl nach so einem Vorfall haben sicherlich viele.
Aber konkret bleiben nur 2 Möglichkeiten:
1. ganz auf Internet verzichten
2. darauf vertrauen das es durchaus Hersteller gibt, die ihre Kunden nicht im Regen stehen lassen.

AVM ist hier im direkten Vergleich aber durchaus anders als viele andere

Schau auf die Heise-Meldungen der letzten Wochen:
Sicherheitslücke hier, Sicherheitslücke da.
Anbieter x1 seit Monaten bekannt, fix unklar oder
Anbieter x2 Produkt wird nicht mehr Supported also auch kein Update oder
Anbieter x3 kein Komentar oder
Anbieter x4 Fix wurde innerhalb von wenigen Wochen bereit gestellt oder
...

AVM:
Sicherheitslückke wurde bekannt, schon eine Woche später breite Information über eine behobene Sicherheitslücke und obendrein innerhalb von ca. 2 Wochen Updates für ALLE betroffenen Boxen, selbst die die schon lange EOM/EOS sind.

Die Vorwürfe an AVM das sie nicht mit den Datails raus rückten kann ich nicht verstehen und genauso wenig kann ich den letzten Ct-Artikel verstehen, der weniger nutzt als schadet, insbesondere wo sie im letzten Satz ihre eigene Dumheit bestätigen:
"So ist es nur eine Frage der Zeit, bis die Lücke auch in die Waffenarsenale mittelmäßig begabter Cyber-Gangster aufgenommen wird. "

Nun entscheidet selbst.
 
Hallo,
Weiterhin ist diese Lücke schon sehr lukrativ.
:gruebel: Jipp, denken wir einmal an:
Bestellungen, Bankdaten, Mail-Inhalte, Verträge, Zugangsdaten, Datenbestände aus Onlinespeichern, ... :shock: Ob da etwas zusammenkommen kann?
Stellt euch mal vor, wieviele FritzBoxen angreifbar sind.
:gruebel: Wie hoch ist die Anzahl der Kunden bei 1&1, Ewetel, Osnatel, KabelDeutschland, KabelBW, MNet, .... mehr als 100 bestimmt, oder?
Hast Du 1&1 einmal darauf angesprochen? Das Schweigen im Walde ist dagegen wie das Gebrüll der Vögel vor meinem Fenster oder in meiner Voliere :?

[EDIT] vorab sorry für das lange Zitat,aber:
AVM:
Sicherheitslückke wurde bekannt, schon eine Woche später breite Information über eine behobene Sicherheitslücke und obendrein innerhalb von ca. 2 Wochen Updates für ALLE betroffenen Boxen, selbst die die schon lange EOM/EOS sind.
Die Vorwürfe an AVM das sie nicht mit den Datails raus rückten kann ich nicht verstehen ...
Das unterschreibe ich !
 
Zuletzt bearbeitet von einem Moderator:
rausgekommen ist das ja nur, weil die Telefonanlage in FB manipulieren wurde mit einer satten Telefonrechnung. - Es herrscht Cyberkrieg, wielange der noch beherrschbar, ist abzusehen.
Senarien wie in den gängigen Science-Fiction Filmen kommen immer dichter, wo die Unterwelt in der Kanalisation schnell noch eine Nachricht an die Oberwelt absetzen kann ;-)
 
Zuletzt bearbeitet:
@Novice

ich finde es ja eigentlich ganz gut, das hier soviel davon berichtet wird.
Aber einige sehen das sicher auch als Anleitung für neue Versuche.
Bin zwar kein Computer Kiddie, aber ist doch schon Interressant was alles machbar ist.
Man lernt auch als Rentner immer noch dazu.
Ein Rest Gefahr wird wohl immer bleiben, aber AVM schläft ja jetzt auch nicht mehr und wird hoffe ich in Zukunft besser aufpassen.
 
Hat sich eigentlich schon jemand mal die mühe gemacht ein diff von der Firmware vor und nach dem Patch zu erstellen um zu sehen, was AVM denn überhaupt geändert hat?

Ich hab gerade mal ein nmap Test gemacht und gesehen, das die Ports 80,2049,5060 und 8080 offen sind.
80 ist klar, die WebOberfläche
2049 ist NFS
5060 ist sip
8080 ist http-proxy

Frage mich warum NFS offen ist. Einen USB Speicher hab ich nicht dran. Somit sollte die NAS Geschichte aus sein.
Ein "showmount --all 192.168.x.y" zeigt nix an.
 
@ws65;
Nun, wir versuchen uns so allgemein wie möglich zu halten, damit es nicht als Tipgeber oder Anleitung missbraucht werden kann.
Aber, wenn alle eingerichteten Schutzmechanismen wegen z.B. der NotfallIP nicht greifen, muss einfach darauf hingewiesen werden.
 
Zuletzt bearbeitet:
Also, ich hab gestern nen diff gemacht fuer meine FB7270v1, d.h. zwischen .88er und .89er Firmware. Da haben sich nicht nur 1..2 Files geaendert sondern alles moegliche. Leider bedeutet das, dass man die Aenderung nicht einfach manuell einbauen kann. Meine Box ist gefreezt. Ich nutze sie jedoch nicht als Router oder Gateway, sondern nur als Voip-Client und als Netzwerkswitch fuer Ethernet und WLAN. Ihre IP endet deshalb auch nicht mit .1 und Routing, NAT, DNS und DHCP macht eine andere Maschine.

Keine Ahnung was ich da jetzt machen soll :(
 
Ja, is klar ;) Aber da muss ich erst rausfinden, wie ich die .89 integrieren kann. Out-of-the-box wird die .89er nicht angeboten... Dummerweise beschaeftige ich mich nur aller 2 Jahre mit sowas und muss dann jedes Mal mich neu in den Workflow reinarbeiten... Hab auch nur Freetz 1.2 stable und wuerde da gern bleiben. In den Quellen von Freetz gibts jedoch auch noch keine Commits die sie sich mit den neuen Updates befassen. Also Handarbeit angesagt....
 
Apropos checken....
Vielleicht sollten sich mal ausgesuchte Leute zusammentun um eine Checkliste auszuarbeiten.
Möglichst auch unter dem Aspekt der richtigen Reihenfolge.
Denn was/wem nützt das Ändern der Passwörter, wenn die Box als letztes abgesichert wird?
 
Sicherheitslückke wurde bekannt, schon eine Woche später breite Information über eine behobene Sicherheitslücke und obendrein innerhalb von ca. 2 Wochen Updates für ALLE betroffenen Boxen, selbst die die schon lange EOM/EOS sind.
Das ist wirklich bemerkenswert. Alleine hier sieht man schön, wie lange manches Modell schon EOS ist und trotzdem noch das Sicherheitsupdate erhalten hat!
Die Vorwürfe an AVM das sie nicht mit den Datails raus rückten kann ich nicht verstehen und genauso wenig kann ich den letzten Ct-Artikel verstehen, der weniger nutzt als schadet, insbesondere wo sie im letzten Satz ihre eigene Dumheit bestätigen:
"So ist es nur eine Frage der Zeit, bis die Lücke auch in die Waffenarsenale mittelmäßig begabter Cyber-Gangster aufgenommen wird. "
Die Vorwürfe an AVM bez des Mantels des Schweigens kann ich nicht wirklich als ernst gemeint empfinden. Dies ist vielleicht etwas überspitzt geschrieben worden, vielleicht ist da ein Herr Redakteur auch eingeschnappt, weil AVM ihm nicht alles brühwarm erzählen will aber das ist sein persönliches Pech. Wenn ich Sch*** verbockt habe, dann verbreite ich ja auch nicht alles im Details und verteile damit eine kostenlose Hackanleitung sondern versuche, die Betroffenen ausreichend zu informieren, damit sie ihre Box updaten ohne auf diese Details, die eh fast keinen interessieren, einzugehen.
Diesen letzen Satz betrachte ich einfach als Polemik und evtl auch noch als Warnung an diejenigen, die ihre Box (immer noch nicht) updaten wollen. Ob der wirklich schadet, wage ich zu bezweifeln denn die Kriminellen werden weder durch die vorige Berichterstattung abgeschreckt noch durch diesen schnöden Satz animiert, die Lücke nutzen zu wollen. Und die Geschichte zeigt ja immer wieder, dass auch teils uralte Lücken immer wieder erfolgreich genutzt werden, weil die User ihre Software nicht updaten. Deshalb würde ich das weniger emotional betrachten. So gesehen hat heise schon recht, man vergesse nicht, was für eine lukrative Verbreitung dem Fiesling entgegen lacht.
ich finde es ja eigentlich ganz gut, das hier soviel davon berichtet wird.
Aber einige sehen das sicher auch als Anleitung für neue Versuche.
Den Deckmantel des Schweigens braucht jetzt doch keiner mehr drüber ausbreiten, weil für alle betroffenen Boxen eine Lösung bereit steht - siehe obigen Link. Damit hat es jeder selbst in der Hand, sich zu schützen, wenn es bei Klärchen Müller der Provider nicht via TR-069 schon angestoßen hat. Problematisch wird es nur, vor den Updatemöglichkeiten eine genauere Beschreibung der Lücke zu veröffentlichen. Und genau das ist ja bisher nicht geschehen. ;)
Ja, is klar :wink: Aber da muss ich erst rausfinden, wie ich die .89 integrieren kann. Out-of-the-box wird die .89er nicht angeboten...
Das halte ich für ein Gerücht, denn die liegt ganz offen auf dem AVM-ftp-Server:
Fritz!Box Fon WLAN 7270 Firmware Version v1 54.04.89
 
ich finde es ja eigentlich ganz gut, das hier soviel davon berichtet wird.
Aber einige sehen das sicher auch als Anleitung für neue Versuche.

Erstens stehen hier nicht wirklich Details, und diejenigen, die das machen wollen, brauchen nicht die Anregung oder Anleitung hier aus dem Forum.
Die Alternative ist, dass man nicht darüber berichtet. Das wäre sicher einigen Herstellern am liebsten, führt aber nur dazu, dass die potentiellen Opfer ahnungslos sind, und somit die Angreifer ein leichtes Spiel haben.
 
Hier gibt einen weiterführenden Bericht....
 
Zuletzt bearbeitet:
Soweit ich die Ausführungen von HPH verstanden habe - glaub ich dass der Bug schon länger bekannt war - 2009 und 2011 wurde nochmal gepatcht.
Sagt euch users_only_for_https = no; etwas?
Damals konnten auch einiges zumindest aus dem LAN ausgelesen werden.


inwieweit reagiert die fritzbox auf Anfragen aus dem Gastnetz?
kann mich hier an einem Beitrag erinnern dass die Box unter bestimmten szenarien doch auf allen ifaces reagierte.
 
Zuletzt bearbeitet:
Zuletzt bearbeitet:
Was mich prinzipiell noch interessieren würde bei dem Hack von Reverse-Engineering-Spezialist Hanno Heinrichs, er hat doch die Klartextkennworte per telnet und allcfgconv ermitteln müssen oder wie entschlüsselt man die Config offline oder per WebIF? Dafür einen Java-Telnet oder -SSH-Client so in eine "speziell präparierte Webseite" einzubauen, macht einen Drive-By-Hack für ein Script-Kiddie doch etwas anspruchsvoller als wie Computer-BILD äh heise online News das mal so simpel darstellt.

Damals waren z.B. mal einige Kennworte in der Anmeldeseite grob-fahrlässing nur per CSS "versteckt" worden - wofür es sicher von Fefe ein ganz großes "Einmal mit Spezialisten arbeiten!1!!" gab.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.