[Info] 17.2.2014 Hack gegen AVM-Router auch ohne Fernzugang (heise.de)

[tim70]

Was mich prinzipiell noch interessieren würde...

mich auch ;-)

Damals waren z.B. mal einige Kennworte in der Anmeldeseite grob-fahrlässing nur per CSS "versteckt" worden - wofür es sicher von Fefe ein ganz großes "Einmal mit Spezialisten arbeiten!1!!" gab.

basiert der aktuelle Hack nicht doch auf der ähnlichen Thematik?
ob versteckt oder nicht - der Webserver hätte die Seiten nie rausrücken dürfen - oder?

Und da hätte man dem Unternehmen das soetwas von anderen Herstellern abschreibt nicht mehr vertrauen sollen.
Anfangs waren die Passwörter nicht mal wirklich versteckt - siehe Zyxel Geräte und co aus den frühen 2000ern
Oder per SNMP konnten einige wichtige Zugangsdaten ausgelesen werden einfach so.

 

[koyaanisqatsi]

Tja, Andilao, das ist Linux.
Im Prinzip braucht es nur den richtigen Befehlsstring, schön mit Semikolon getrennt.
In diesen ordentlich Pipen und Umleiten, grep's noch mit regulären Ausdrucks Filter,
abschliessend ein ftpput oder mailer....
Was auch immer, geht eine CGI Injektion auf Shellskriptbasis durch,
dann ist alles möglich.

 

[teapot]

Gibt nun eine Liste, wer alles betroffen ist: http://www.avm.de/de/Sicherheit/liste_update.html

 

[koyaanisqatsi]

Echt schade dann, dass meine 3 7113er kein VDSL können.

 

[Novize]

Gibt nun eine Liste...

Jaja, das klassische Aufmerksamkeitsdefizit *). Siehe >>hier<< oder auf gerade erst verlinkten neuen heise-Artikel.

*) Böse Zungen würden jetzt von AD(H)S sprechen. Scnr.

 

[hph]

Was mich prinzipiell noch interessieren würde bei dem Hack von Reverse-Engineering-Spezialist Hanno Heinrichs, er hat doch die Klartextkennworte per telnet und allcfgconv ermitteln müssen oder wie entschlüsselt man die Config offline oder per WebIF?

Im Moment kann ich leider nicht dazu kommentieren. Die Lücke und die Details sind eben noch nicht öffentlich bekannt. Je weniger Details bekannt sind, desto schwerer ist es für andere kriminelle Gruppen die Lücke selbst aufzuspüren und auszunutzen.
Auf der anderen Seite kann ich natürlcih Interesse an den Details zu legitimen Zwecken nachvollziehen. Da man davon ausgehen kann, dass die Lücke früher oder später öffentlich wird, wäre das der richtige Zeitpunkt um Detailfragen erneut zu stellen.

Ein auf Verständnis setzender
Hanno

 

[andilao]

Tja, Andilao, das ist Linux.
Im Prinzip braucht es nur ...

Und was hat der Dreck ;-) dann darauf zu suchen, wenn jeder alles mit root-Rechten darauf so treiben kann was er will? Wo bleibt da ein sauberes Sicherheits-Modell, das nicht durch dusslige Azubi-Fehler im WebIF(?) ausgehebelt werden kann.

 

[uboot81]

Mit Linux hat das weniger was zu tun.... eher mit der Umsetzung von Zugriffsrechten und Nutzeraccounts... Normalerweise laesst man nen Webserver ja nicht mit Root-Rechten laufen

 

[tim70]

imho sollte avm überhaupt überlegen ob nicht weitere sicherheitskonzepte nötig sind.

Könnte ihr verstehen, warum ich über die AVM Oberfläche erst WLAN aktivieren muss und dann den Sicherheits-Schlüssel ändern zu können?
War anfangs als die Boxen noch keinen vorgegebenen Schlüssel hatten lustig - findet ihr nicht?

 

[koyaanisqatsi]

Calm down.
Letztendlich ist es das Opfer, dass mit seinen Browser durchs Internet surft,
und so den Angriff sozusagen durch blossen Aufruf einer Seite auslöst.
Das war nicht die Fritz!Box.
Die Browserhersteller sollten da vielleicht auch mal nachgucken.

Die Fritz!Box ist von aussen relativ gut geschützt.
Wird dann aber, wenn möglich, mit den erbeuteten Daten gekapert.
u.s.w.

Ein konstruktiver Vorschlag für AVM in dieser Richtung wäre meines Erachtens:
Das Startcenter und Protect passt auf geänderte Programme auf, OK.
Das Fritz!Box Addon könnte im Quelltext eventuell nicht nur Telefonnummern
raten, sondern auch auf sich bezogenen komischen Code.
Aber vielleicht kann dann nur gewarnt werden.
Ausgeführt wird er dann schon sein.
Wäre auf Softwarebasis immerhin auch für Apps machbar,
die auf nicht gerooteten Geräten (Androiden) laufen,
wo die z.B. hosts Datei nicht editierbar ist.

 

[rudolfk]

Noch einfacher wäre es, wahlweise den Webserver nur per wps Knopf zu starten, für eine einstellbare Zeitspanne. Könnte per Update geschehen, und die Kiste wäre deutlich sicherer.

Was das problem war wird öffentlich sobald einer diff bemüht und seine Erkenntnisse postet.

Ich finde es richtig die Lücke solange nicht näher zu besprechen, solange noch Gefahr für Anwender besteht. Die meisten Profis sind nicht kriminell, aber die meisten kriminellen arbeiten mit halbwissen, und man muss denen nicht die andere Hälfte des Wissens liefern. Meine Diskussion hier zielte darauf, denen zu helfen die für ihre alte Box kein Update haben. Nun hat sich AVM vorbildlich gezeigt, und jeder Kunde mit noch so alter Box bekam sein Update. Ich werde weiterhin AVM empfehlen.

Ich konnte mir mal einen Speedport aus AVM herstellung anschauen, der hat eine ganz andere Firmware als die Fritz.


Bei Daimler Benz gab es auch mal ein Sicherheitsproblem. Die hatten den Druckluftbehälter der Zentralverriegelung im Kofferraum eingebaut. Irgendein Schlauberger fand die Stelle wo man gegentritt und die Türen aufgingen. Dann gab es erste mal viele bestohlene Benzfahrer mit Erklärungsnot, es gabe ja keine Eunbruchspuren. Bis die Polizei und dann Daimler Benz den Fehler erkannten. Damals hat Daimler Benz genauso wie heute AVM das problem nicht öffentlich besprochen, was auch Sinn machte.

 

[uboot81]

Noch einfacher wäre es, wahlweise den Webserver nur per wps Knopf zu starten, für eine einstellbare Zeitspanne. Könnte per Update geschehen, und die Kiste wäre deutlich sicherer.

+1 !!!!

Was das problem war wird öffentlich sobald einer diff bemüht und seine Erkenntnisse postet.

So einfach isses zum Glueck nicht.... sind ja Binaerdaten die man vergleichen muss. Und die koennen sich schonmal einfach nur deshalb unterscheiden, weil ne neuere Compiler-Version verwendet wurde, ohne dass Quellcode sich geaendert haette.... Und vielleicht hat AVM ja auch mutwillig mehr veraendert, als noetig, um in die Irre zu fuehren

 

[tim70]

Und vielleicht hat AVM ja auch mutwillig mehr veraendert, als noetig, um in die Irre zu fuehren

jau asterix mitreinkopiert... lang ist es her ;-)

 

[tim70]

Calm down.
Letztendlich ist es das Opfer, dass mit seinen Browser durchs Internet surft,
und so den Angriff sozusagen durch blossen Aufruf einer Seite auslöst.
Das war nicht die Fritz!Box.

nicht Dein Ernst - oder?

 

[erik]

Noch einfacher wäre es, wahlweise den Webserver nur per wps Knopf zu starten, für eine einstellbare Zeitspanne. Könnte per Update geschehen, und die Kiste wäre deutlich sicherer.

Da brauche ich dann einen Roboter den ich aus der Ferne beauftragen kann den Knopf zu drücken...

Im Ernst: Wie soll dann aber VPN, Push-Mail, Rufsperre, Fax to Mail usw. usf. funktionieren?

 

[voipd]

heise.de ergaenzt dies:

19.02.2014 17:24 Fritzbox-Lücke: Vier Speedport-Modelle der Telekom betroffen

Um diese Lücke zu schließen, hat die Telekom heute Firmware-Updates für die Versionen W 503V (Typ A), W 721V und W 920V herausgegeben. Der W 722V (Typ A) steht noch aus, soll aber so schnell wie möglich versorgt werden, voraussichtlich noch im Lauf dieses Tages.

voipd.

 

[lolly3]

kommt ein Update auch für FB die noch WDS nutzen?

Hallo,
ich kenne noch einige die mit ihrer FB7270 noch WDS nutzen, also die letzten Firmware-Updates nicht mehr mitgemacht haben, um dieser Möglichkeit nicht beraubt zu werden.
Mit dieser Sicherheitslücke werden sie nun aber "gezwungen" sich von WDS und ihren alten (WDS-) "Repeatern" zu verabschieden.

Hat evtl. jemand was gelesen/gehört, ob AVM auch plant, ein Update für die WDS Nutzer bereit zu stellen?
Vor gut einer Woche bekam ich von AVM die Nachricht, dies sei noch unklar.

Derzeit haben wir auf den FB7270 mit aktiviertem WDS nur wie vor einer Woche empfohlen, die Fernwartung nur deaktiviert. Aber das scheint ja nach aktueller Wissenstand auch nicht mehr auszureichen.

Danke!
Gruß, Lolly3

 

[derneueFritz]

nach dem Studium des alten und neuen threads hier bin ich der Meinung, nichts genaues weiß keiner. Alle tappen im Dunkeln. Als Laie könnte ich mir vorstellen die Offenlegung des Quellcodes der FB'en.
Als Konsequenz für mich ziehe ich in Betracht: die ISDN-Anlage wieder von der FB zu lösen und an den NTBA ran (ich habe noch klassisches ISDN) und eine FB ohne Fon, ohne Myfritz, Dect, IP-Telefonie und dergleichen immer nur kurz ans Netz und dann gleich wieder aus, wie zu Modemzeiten.

 

[rudolfk]

So einfach isses zum Glueck nicht.... sind ja Binaerdaten die man vergleichen muss.

Gratuliere, du gehörst also zu den wenigen erleuchtetetn hier, die das Problem genau kennen. Und zwar so genau, dass Du auch weisst das eine Binärdatei betroffen ist.

Aber bitte sei doch so nett und verrate keine Details

 

[rudolfk]

Da brauche ich dann einen Roboter den ich aus der Ferne beauftragen kann den Knopf zu drücken...
Im Ernst: Wie soll dann aber VPN, Push-Mail, Rufsperre, Fax to Mail usw. usf. funktionieren?

Wer alle Wörter liest ist im Vorteil, ich schrieb "wahlweise".
Ein Kästchen in der Konfiguration "ab jetzt nur per Knopfdruck" und noch eins für wieviele Minuten man zeit hat die Konfiguration zu starten, also der Weg zum Rechner.

Die meisten konfigurieren doch einmal und nie wieder, einige selten, und nur wenige täglich.
Dieses Prinzip ist nicht neu, mann kennt es von DECT Telefonen bei der Anmeldung von Handteilen. Es schafft einfach mehr sicherheit mit kaum Aufwand und ohne Hardwareänderung.

Vielleicht findet ein aktiver Freetz'ler die Zeit das einzubauen?

nach dem Studium des alten und neuen threads hier bin ich der Meinung, nichts genaues weiß keiner. Alle tappen im Dunkeln.

Ganz wenige wissen alles. Die können sogar nachsschauen, ob AVM ordentlich korrigiert hat.
Fast alle wissen wenig, die vertrauen halt darauf, dass AVM ordentlich nachgebessert hat.
Ganz wenige tappen im Dunkeln. Die wollen ihre Fritzbox allen ernstes genau dann abklemmen, wenn diese sicherer geworden ist.

Die wirklich was wissen, und auch die es glauben drücken sich hier auf Bitte des Betreibers bewusst unklar aus, um kriminellen nicht weiterzuhelfen.