[Info] 17.2.2014 Hack gegen AVM-Router auch ohne Fernzugang (heise.de)

[chilango79]

Zum Thema WDS hab ich auch schon an AVM geschrieben oder über Feedback gemeldet.
Artig gelobt und gefragt ob für die letzten WDS FWs auch noch Sicherheitsupdates kommen.

Wer fragt bekommt Antwort. Je mehr fragen um so wahrscheinlicher wird ein Update für WDS FWs

 

[voipd]

Die meisten konfigurieren einmal und nie wieder, einige selten, und nur wenige täglich.

Stimmt, aber die meisten anderen machen noch Statusabfragen wie: Anrufliste, Anrufbeantworter abfragen, Geraete schalten, NAS bespielen oder auch sonstige TROCKEN Uebungen.

Das Prinzip ist nicht neu, mann kennt es von DECT Telefonen bei der Anmeldung von Handteilen.

Wenn ich jetzt darueber nachdenke vor dem Ablesen der Anruferliste am Handgeraet jedesmal an der Basisstation einen Knopf druecken zu muessen. ... Das offene Fenster waere dann die Loesung. :meinemei:


voipd.

 

[rudolfk]

NOCHMAL für alle die mich immer noch nicht verstanden haben. Dieses Feature würde man abschalten können. Somit verstehe ich nicht, was daran falsch wäre es zu haben. Ihr könntet es gerne abschalten, dann habt ihr eure Box wie bisher. Aber alle anderen hätten noch mehr sicherheit.
Und ihr die es sonst abschaltet hättet in den letzten drei wochen wahrscheinlich auch mal ausnahmsweise diese Funktion genutzt

Wenn ich jetzt darueber nachdenke vor dem Ablesen der Anruferliste am Handgeraet jedesmal an der Basisstation einen Knopf druecken zu muessen.
voipd.

Nutzt das Handgerät denn den Webserver? Ich frage aus unwissen.

 

[voipd]

Hallo rudolfk.

Eben. :grin: NOCHMAL: Ich kann nicht das Feature "Konfig ueber das Webinterface" abschalten und das Feature "Statusabfrage ueber Webinterface" gleichzeitg zulassen und dann denken, dass niemand meine Konfig auslesen kann. Ist der Port offen kann es schief gehen.

Apropos DECT: Du bist mit den Vergleichen angefangen. Aber ja, Solange ich per DECT Protokoll Infos von der Basis abfragen kann besteht theoretisch auch die Moeglichkeit ueber eine "Protokollluecke" Konfigdaten zu aendern/auszulesen. Solange das noch niemand gefunden hat ist doch alles gut, oder hast du Dich vor 4 Wochen mit der FritzBox unsicher gefuehlt?
Ob das ueber einen Web- , Wap-, ftp-, DECT- oder Ananas-Server passiert ist vollkommen egal.


voipd.

 

[voipd]

Nabend zusammen.

Zum Thema zurueck. Gerne wuerde ich hier die ganze Meldung von AVM (auch zur Dokumentation) zitieren, aber da treten mir dann die Admins auf die Fuesse. In dieser Mitteilung ist gut zusammengefasst, wie und warum sich der Upgradeprozess so ergeben hat.

Das Wichtigste hier im Auszug: 19.2.2014 avm.de FRITZ!Box: Sicherheits-Update für alle potenziell gefährdeten Geräte verfügbar

Die erfolgten Angriffe auf die FRITZ!Box in den vergangenen Wochen waren nur möglich, wenn Kunden aktiv ihren Fernzugriff freigeschaltet hatten.

Detaillierte Analysen des Angriffs haben ergeben, dass auch FRITZ!Box-Modelle angegriffen werden könnten, bei denen der Fernzugriff nicht freigeschaltet ist. Hierzu ist allerdings eine völlig andere Art des Angriffs notwendig. [...] Ein solcher Angriff ist bis heute nicht bekannt. Mit dem installierten aktuellen Update ist dieses inzwischen auch in den Medien veröffentlichte Angriffsszenario nicht möglich.

@ Admin: Habe absichtlich 2 Beitraege erstellt, weil sie sehr unterschiedliche Informationen zum Inhalt haben.

voipd.

 

[penum]

da bin ich mal gespannt was sie gleich um 22:15 bei RTL Stern TV über unsere Fritzboxen berichten.

Neues wird es nicht geben an Info, aber lassen wir uns mal überraschen. Vielleicht ist ja jemand von AVM im Studio,...

 

[rudolfk]

@viopd
Du hast anscheinend komplett nicht verstanden, wovon ich schreibe.
Ich fragte Dich ob das Handteil (angemeldet an der Fritzbox) den Webserver (in der Fritzbox, ggf. abgeschaltet) denn überhaupt nutzt. Ein Ja/nein/weissnicht als Antwortwäre schön, persönliche Befindlichkeiten möchte ich hier nicht austauschen.

 

[voipd]

Hallo rudolfk.

naklar beantwortet ich nochmals Deine Fragen ganz genau.

Ja, ich habe verstanden was Du meinst.
Ja, das Handteil schaltet den http-Webserver der Fritzbox nicht ab. Wozu auch?
Ja, das DECT Handteil kommuniziert mit dem DECT DECT-Server der Fritzbox.
Ja, wenn ich mit der Box kommunizieren will, muss irgendein Weg offen sein.
Ja, jedes Kommunikationsmoeglichkeit kann ein Einfallstor zum Missbrauch sein. *)

Ergo: "Der einzig gewinnbringende Zug ist nicht zu spielen".

voipd.

*) Auch wenn ich die Haustuer zumauer ODER NUR PER KNOPFDRUCK OEFFNEN LASSE kann ich durch den Lueftungskanal AUCH OHNE KNOPFDRUCK einbrechen.

 

[voip-charly]

Anscheinend der Versuch eine Internetrufnummer anzumelden

Ich habe letzte Woche alle Passwörter geändert, Fernwartung (MyFRITZ, No-IP) deaktiviert und trotzdem heute diesen Eintrag unter System/Telefonie gehabt: Anmeldung der Internetrufnummer XXXXXX war nicht erfolgreich. Gegenstelle meldet Ursache 401. Dies heißt ja dass jemand versucht hat ein SIP-Telefon bei mir anzumelden. Ich war nicht zu Hause, besitze diese Nummer nicht und sehe dies nun im Logfile. Da habe ich wohl Glück gehabt.

 

[erik]

Hat evtl. jemand was gelesen/gehört, ob AVM auch plant, ein Update für die WDS Nutzer bereit zu stellen?
Vor gut einer Woche bekam ich von AVM die Nachricht, dies sei noch unklar.

Für die 7270v1 gibt es ja ein Update mit WDS-Möglichkeit. Wenn mich nicht alles täuscht läuft diese Firmware auch auf einer 7270v2, damit würde die Kiste aber IPv6-untauglich. Auch für die 7270er bei o2 gibt es ein solches xx.04.89 Update.

 

[rudolfk]

Ok.
Weiss sonst jemand, ob das an der Fritzbox angemeldete DECT-Handteil den Webserver nutzt?
Ich würde es einfach gerne wissen, und googeln ergab nichts.

 

[pfax]

ob das an der Fritzbox angemeldete DECT-Handteil den Webserver nutzt?


Kannst Du Mails von deinem DECT-Handteil verschicken?

 

[rudolfk]

@voip-charly

Solange es nicht deine telefonnummer ist würdest Du auch nichts zahlen.
ABER:
Wenn jetzt kriminelle versuchen, einen von Müller geklauten VOIP account auf der Fritzbox von Schmidt einzurichten und von dort zu missbrauchen, dann hätte das eine neue Qualität.

Müller sieht nichts verdächtiges an seinem Router, und das böse erwachen kommt später mit der Rechnung.

Schmidt nutzt sonst kein VOIP, und guckt auch nicht dannach.

 

[rudolfk]

@pfax
Ich hab kein AVM Handteil. Ich möchte es nur wissen.
Mein Gigaset kann ausser telefonieren nichts.

 

[oldmen]

... heute diesen Eintrag unter System/Telefonie gehabt: Anmeldung der Internetrufnummer XXXXXX war nicht erfolgreich. Gegenstelle meldet Ursache 401. Dies heißt ja dass jemand versucht hat ein SIP-Telefon bei mir anzumelden.

Sicher dass das jemand anderes war?

Überprüfe mal deine eigenen Nummern bzw. die "ID's" deiner Sip-Konten! Sipgate z.B. zeigt bei gescheiterten Anmeldeversuchen im Log die Sip-ID und nicht die Rufnummer an.

 

[RFZ]

Eine Cross-Site-Lücke ist das nicht, es ist ein direkter Angriff auf die Box ähnlich einer SQL-Injection.
Einfach ausgedrückt: Es werden über Parameter Befehle bei dem Website-Aufruf an das BS gegeben, die dann auf Betriebssystemebene ausgeführt werden.
Cross-Site-Hacking wurde auch schon vor langer Zeit recht effektiv durch die Session-ID verhindert.

Mir ist schon klar, dass es eine Code-Injection Lücke ist. Aber diese kann vom Browser des Nutzers aus nur mittels XSRF ausgenutzt werden. Die üblichen Session-Mechanismen der FritzBox scheinen an dieser Stelle nicht zu greifen, sonst wäre der Angriff nicht möglich.

 

[Hans Juergen]

Kannst Du Mails von deinem DECT-Handteil verschicken?

Das sind doch 2 Paar Schuhe... Das DECT-MT nutzt erst einmal nur DECT, sonst nix.
AVM-MT können aber mehr, darüber ist aber bisher kein Eindringversuch bekannt.

AVM: Die erfolgten Angriffe auf die FRITZ!Box in den vergangenen Wochen waren nur möglich, wenn Kunden aktiv ihren Fernzugriff freigeschaltet hatten.
Detaillierte Analysen des Angriffs haben ergeben, dass auch FRITZ!Box-Modelle angegriffen werden könnten, bei denen der Fernzugriff nicht freigeschaltet ist. Hierzu ist allerdings eine völlig andere Art des Angriffs notwendig.

Das bedeutet doch, dass es (mindestens?) 2 Lücken gab, wovon die 2 Lücke (mehr zufällig?) mit geschlossen wurde.
Derartige Angriffe sind aber (bisher) nicht bekannt, somit sind User ohne aktivierten Fernzugriff wahrscheinlich nicht betroffen gewesen.

 

[penum]

Interessant finde ich, dass AVM auch ein Sicherheitsupdate für die WLAN Repeater seit heute Abend herausgibt.
Hier gibt es keine Fernwartungsfunktion, die man aktivieren oder deaktivieren kann. Es muss also noch was anderes gefixt worden sein!!!!

 

[Hans Juergen]

Das wird eine Reaktion auf die 2. Lücke sein...

 

[penum]

@Hans Juergen

sehe ich auch so, man hat die 2te Lücke einfach zu Anfang todgeschwiegen