[Info] 17.2.2014 Hack gegen AVM-Router auch ohne Fernzugang (heise.de)

[koyaanisqatsi]

Nö, meines Wissens nur durch das Abschalten des Webservers (HTTP/HTTPS).
Nur so ist sichergestellt, das bei Aufruf einer bösen Internetseite fritz.box
nicht (lokal) erreicht werden kann. Und das (Abschalten) geht nur mit telnet.
Der Domainname fritz.box lässt sich nämlich nicht ändern.
Ein vorläufiger Workaround wäre:
Standard IP 192.168.178.1 ändern und in /etc/hosts des Klienten fritz.box
auf 127.0.0.1 verweisen lassen.
Auf Windowssystemen: C:\Windows\System32\drivers\etc\hosts

 

[Hans Juergen]

Sie beinhaltet allen Quellen zufolge eine sofortige Auswechselung aller Passwörter, die in der Box gespeichert sein können.

Eben dieser Hinweis ist äußerst unzureichend kommuniziert worden. Zudem weiß der Durchschnitts-1&1-Kunde doch gar nicht, dass seine Telefondaten per Passwort geschützt sind, da die FB per Start-Code eingerichtet ist...

 

[SF1975]

Hallo,
Leider wird seitens 1&1 dazu im dortigen Kundenforum nichts kommuniziert ... :crazy:

 

[Hans Juergen]

Habe auch gerade noch mal meine 1&1-Mitteilungen durchgesehen, da ist gar nichts...?

 

[SF1975]

Hallo,
Ich habe zumindest nichts offizielles gelesen. Auch auf Anfragen bezüglich anderer Aspekte in Sachen Sicherheit schweigt man lieber und läßt Kunden auf den Trockenen sitzen.

Meine Anfragen und Warnungen habe ich mal als Screenshot gesichert, falls doch noch einmal was passiert. Dann kann keiner sagen, ich hätte nichts gesagt :hehe:

 

[HabNeFritzbox]

"der Durchschnitts-1&1-Kunde" braucht auch keine Passwörter oder Hinweise, da eh Autoupdate aktiv ist.

SF1975@ Ist doch nichts neues bei 1&1, was Datenschutz, Sicherheit oder so angeht, schweigt man sich lieber eher zu Tode, oder allgemeines Wischi Waschi.

 

[effmue]

Guude,
checkt mal euren Spam-Ordner...
Bei mir kam sowohl ein E-Mail Hinweis am 14.02. gg. 21:40 und auch ein Hinweis von 1&1 beim einloggen ins Web-Frontend.

...achja....ins Ausland wollte ich eh nicht telefonieren...

in den vergangenen Tagen haben wir Sie bereits per E-Mail darüber informiert, dass eine Sicherheitslücke bei AVM FRITZ!Boxen und einigen baugleichen 1&1 DSL-Modems entdeckt wurde. Ihr von 1&1 geliefertes Gerät könnte hiervon auch betroffen sein und ist möglicherweise gefährdet. Daher haben wir aus Sicherheitsgründen Ihren Anschluss für Auslandsgespräche vorübergehend gesperrt. Alle anderen Inlandsrufnummern sind selbstverständlich für Sie weiterhin erreichbar. Der Internetzugang ist davon nicht betroffen. Um die Sicherheit Ihres 1&1 Internetanschlusses zu gewährleisten, führen Sie bitte unbedingt und zeitnah die folgenden drei Sicherheitsmaßnahmen durch: 1.Deaktivieren Sie bitte den Internetzugriff über HTTPS (Port 443) Anleitung: http://hilfe-center.1und1.de/article/794235 2.Überprüfen Sie bitte, ob Sie über die aktuelle Firmware verfügen Anleitung: http://hilfe-center.1und1.de/firmware-aktualisierung 3.Ändern Sie bitte alle in Ihrem 1&1 DSL-Modem gespeicherten Passwörter Anleitung: http://hilfe-center.1und1.de/article/794246 Sobald Sie alle drei Sicherheitsmaßnahmen durchgeführt haben, können wir Ihren Anschluss für Auslandsgespräche wieder freigeben. Bitte wenden Sie sich dafür telefonisch an unsere Hotline unter 0721 96 00 (kostenfrei aus dem Netz von 1&1, Festnetz- und Mobilfunkpreise anderer Anbieter gegebenenfalls abweichend), die täglich rund um die Uhr für Sie erreichbar ist. Hier finden Sie kompetente Ansprechpartner, sofern Sie bei diesen sicherheitsrelevanten Anpassungen Hilfe benötigen. Zögern Sie bitte nicht, unser kompetentes Service-Team zu kontaktieren.
Wir sind für Sie da! Freundliche Grüße Kundenservice

 

[rudolfk]

Golem hat berichtet:
"Die Fritzbox führe dann einige Befehle aus, über die die Konfigurationsdatei des Routers auf einen externen Server kopiert werde."
http://www.golem.de/news/fritzbox-h...ffenbar-nicht-nur-fernzugang-1402-104621.html

Da ja keiner was verrät habe ich mal all meine Kompetenz eingesetzt und "fritzbox cgi" gegoogelt.
Der blog von Engelke hat mich dann doch sehr überrascht, nicht nur was er schrieb, sondern auch wie lange das schon her ist.

Haben wir hier wirklich eine neues Problem, oder hat da jemand eine Leiche etwas genauer untersucht?

Und könnte man nicht auch mit genau diesem exploit das böse Script ersetzen, statt komplette Updates zu erstellen? Und damit auch die alten Boxen sicher machen? Ich kann es leider nicht untersuchen, da ich keine passende Box hab.

Ein vorläufiger Workaround wäre:
Standard IP 192.168.178.1 ändern und in /etc/hosts des Klienten fritz.box
auf 127.0.0.1 verweisen lassen.
Auf Windowssystemen: C:\Windows\System32\drivers\etc\hosts

Leider nicht, alle Fritzboxen antworten auch auf 169.254.1.1

http://service.avm.de/support/de/SK...nutzeroberflaeche-ueber-Notfall-IP-einrichten

Nachtrag: die 169... kan man per Firewall sperren, also ist Dein Vorschlag doch deutlich besser als nichts tun.

 

[koyaanisqatsi]

Die Notfall IP.
Lässt sich nur sehr schwer bändigen, weil der multid sie immer wieder neu setzt.
Abhilfe würde nur eine Endlosschleife bringen die sie bei Vorhandensein wieder löscht.
Auch dafür wäre ein telnet Zugang notwendig.
Diese IP ist an lan:0 gebunden und könnte mit ifconfig gelöscht oder/und geändert werden.
So zum Beispiel: ifconfig lan:0 down ; ifconfig lan:0 192.168.22.22 up
Die Route wird dabei auch gelöscht und auf die Neue gesetzt.

192.168.22.0    *               255.255.255.0   U     0      0        0 lan

...oder auch ab in die hosts damit, ist ja auch Naheliegend.

 

[Novize]

Warum nicht einfach in der Windows-hosts-Datei auch die IP 169.254.1.1 auf 127.0.0.1 umleiten?

 

[rudolfk]

Da ich keine Box habe, kann ich es nicht probieren.
Könnte man nicht das webinterface auf eine eigene IP per telnet umschiessen, z.B 192.168.178.254, und die dann per Windows/Linux Firewall sperren? Dann müsste der Spuk vorbei sein. Problem istt ja, dass DNS,Gateway und Webinterface alle auf die gleiche IP lauschen.

 

[koyaanisqatsi]

Via DHCP wird Gateway und DNS bezogen, auch wenn sie geändert wurde.
Davon weiss aber die Hardcodierte HTML-Seite nichts, wenn sie (Fritz!Box IP) geändert wurde.

 

[rudolfk]

Warum nicht einfach in der Windows-hosts-Datei auch die IP 169.254.1.1 auf 127.0.0.1 umleiten?

Wenn man ein Frontend wie z.B. "windows7firewallcontrol" nutzt, dann ist es bequemer den Zugang per Menu schalten zu können.

Ausserdem sieht man dann wenn die IP aufgerufen wird, und kann zeitnah den Bösewicht suchen. Das ist mir äusserst wichtig.

PS. Mit obigem Frontend konnte ich auch die Kontaktversuche zum Aussenserver beim vom ccc geposteten Bundestrojaner erkennen. Den hatte ich mal aus neugier vom ccc runtergeladen und installiert. Wie genau das werde ich hier nicht posten, denn die "Qualität" dieser Software soll ja erhalten bleiben

Via DHCP wird Gateway und DNS bezogen, auch wenn sie geändert wurde.
Davon weiss aber die Hardcodierte HTML-Seite nichts, wenn sie (Fritz!Box IP) geändert wurde.

Der HTTP Server IN DER Fritzbox ist auf 192.168.178.1 konfiguriert, genauso wie alles andere. Konfiguriert man den auf 192.168.178.254, dann kann man den per Firewall sperren. Also keine scripts oder htmls ändern, sondern die konfiguration des Servers.

 

[Hans Juergen]

"der Durchschnitts-1&1-Kunde" braucht auch keine Passwörter oder Hinweise, da eh Autoupdate aktiv ist.

Und dabei werden auch die Passwörter geändert...? Das ist doch wohl nicht dein Ernst...?
Wer sich wie du über "Nervereien" anderer aufregt, sollte selbst etwas mehr Sorgfalt auf seine Posts aufwänden...

 

[Doranus]

Bekomme ich das aktuelle AVM Update auch in einer Freetz Version rein oder muss ich komplett zurück zur Originalfirmware?

 

[schlegel11]

Anstatt direkt IPs zu sperren wäre es nicht auch möglich den Standard HTTP Port vom WebInterface abzuändern?

 

[Micha0815]

Upps?
Wenn ich diesen Beitrag lese wird mir Angst und Bange.
Viele Leute betreiben eine FB hinter einer Hauptbox oder einem Kabelmodem.

LG

 

[koyaanisqatsi]

Anstatt direkt IPs zu sperren wäre es nicht auch möglich den Standard HTTP Port vom WebInterface abzuändern?
Vermutlch, ja...
ar7.cfg oder fritzbox.export (Sicherungsdatei)

websrv {
        port = "80";
        https_port = "443";
        read_timeout = 15m;
        request_timeout = 30s;
        keepalive_timeout = 5m;
        nokeepalive = "*";
        errordir = "/usr/www/html/errors";
        webdir = "/usr/www";
        cgidir = "cgi-bin";
        indexfn = "index.var", "index.htm", "index.html";
        users_only_for_https = yes;
        cors_allow_origins = "*.avm.de";
        cors_allow_headers = "SOAPACTION", "Content-Type", "Origin";
        cors_allow_methods = "GET", "POST", "OPTIONS";
        cors_max_age = 1d;
}

 

[andilao]

wäre es nicht auch möglich den Standard HTTP Port vom WebInterface abzuändern?

Was ich schon mal vor Jahren erfolgreich probiert habe, mit Port 0 (Null) deaktiviert man das HTTP-WebIF sogar bestens. Habe dann aber dann nur HTTPS auch für die lokale Anmeldung aktiviert per "users_only_for_https = no;", um ein abschnorcheln von jedweden Passworten zu verhindern. Damals glaubte ich noch, dass die zweistufige Anmeldung einen Rest von Sicherheit bieten müsste.

 

[rudolfk]

Die "quick and dirty lösung":
http://www.heise.de/security/news/f...nd-aktivieren/forum-274943/msg-24803949/read/

Damit sollte eine alte Box erstmal dicht sein. Und nicht vergessen, ggf UPNP dicht zu machen.