[Info] 17.2.2014 Hack gegen AVM-Router auch ohne Fernzugang (heise.de)

[scolopender]

Warum sind dann im angegeben heise-Link (im gezeigten Ausschnitt einer Export-Datei) Benutzername und Passwort im Klartext lesbar?

G., -#####o:

 

[hph]

Weil die Box das Hardwaregeheimnis kennt, mit dem sie die Daten verschlüsselt hat. Und natürlich kann sie ihre Passwörter so auch wieder entschlüsseln.
Wenn du dich mal per Telnet auf deiner FB einloggst und

allcfgconv -C ar7 -c -o /var/tmp/config
cat /var/tmp/config

eingibst, dann macht die Box genau das gleiche

EDIT: Das ganze ist auch hier dokumentiert: http://www.wehavemorefun.de/fritzbox/Allcfgconv

 

[sibsnonto]

Ok, dann kann der Angriff aber nicht über die normale Export-Funktion laufen, sondern muss mit so einem Befehl geschehen ?
Dann hilft es ja auch nicht die Export-Funktion des Webinterface zu deaktivieren, was wahrscheinlich eh nicht geht.

 

[hph]

Nope, der Angriff läuft nicht über die Export-Funktionalität, wie man sie aus dem Webinterface kennt.

 

[scolopender]

Ok, das erklärt den Unterschied.

G., -#####o:

 

[sibsnonto]

Ja danke für die klare Antwort, das war im heise.de Artikel so dargestellt, dass man annehmen konnte es wäre die normale Export-Funktionalität.

 

[RalfFriedl]

was haltet ihr davon (geänderten Ports)
Allerdings, was wenn ein Skript alle durchprobiert?

Dann wird es die Ports auch finden. Wenn Du aber nicht davon ausgehst, dass jemand es auf Dich persönlich abgesehen hat, wird das keiner versuchen.

Ich hoffe das war Absicht und nicht Unvermögen.

Interessante Sichtweise. Du würdest also Produkte von Herstellern kaufen, die mit Absucht Sicherheitslücken eingebaut haben?

 

[Novize]

Moderatorischer Hinweis:
Die letzten 16(!) Beiträge, die außer Unterstellungen und unsachlichen Behauptungen nur OT-Zeug enthielten, sind dem Erdboden gleichgemacht.
Bleibt endlich sachlich beim Thema!

 

[snifty]

Davon mal abgesehen betrifft das Problem auch Router von Asus und Linksys (und nicht nur Fritz-Boxen).

 

[Spacefish]

Oh jetzt geht's los.. Das sind aber andere getrennt davon zu betrachtende Lücken, bei anderen Herstellern! Das DSL Router aus China meist ein Scheunentor sind und keine Updates kriegen, da es die Firma unter den Namen schon lange nicht mehr gibt, ist auch kein Geheimnis

 

[ted58]

Hallo

ich hoffe jemand kann mir helfen. Ich habe bei meiner FB7170 das Passwort vergessen. Solange ich das nicht habe, nutze ich eine andere FB. Natürlich könnte ich die 7170 zurücksetzen, aber dann ist auch das Telefonbuch weg und da ist eine Nummer die ich sonst nicht habe. Kann mir jemand helfen? Gern auch per PN. Wie gesagt, es geht mir nicht darum andere Daten zu bekommen, lediglich darum das ich meine FB wieder nutzen und updaten kann, denn die andere FB die ich momentan nutze habe ich nur ausgeliehen.

 

[SaschaBr]

Nimm ein Telefon, schließe es an die Box an (diese muss dabei ja nicht am Internet hängen), rufe das Telefonbuch mit dem Telefon auf, und schreib die Nummer ab!?

 

[HabNeFritzbox]

ted58@ Ernsthaft? Was erwartest du in diesem Thema? Dass dir wer Anleitung zum hacken schickt?

Alternative wäre zum Vorschlag von Sascha einfach den EVN durchgucken von den letzten Rechnungen.

 

[scolopender]

Ich frage mich, was dieses Problem in diesem Thread zu suchen hat.

G., -#####o:

 

[rudolfk]

Warum sind dann im angegeben heise-Link (im gezeigten Ausschnitt einer Export-Datei) Benutzername und Passwort im Klartext lesbar?

Darauf hat hph geatwortet:

Weil die Box das Hardwaregeheimnis kennt, mit dem sie die Daten verschlüsselt hat. Und natürlich kann sie ihre Passwörter so auch wieder entschlüsseln.

Die älteren Hacks lieferten so ziemlich alles ausser dem Benutzerkennwort. Ich vermute, der hier besprochene hack ist eine variante der bisherigen. Siehe hierzu auch den von mir angesprochenen blog von Engelke. Auch der heise Artikel zeigte ein e-mail Passwort.

@hph:
Hatte dein Hack auch das Benutzer/Anmelde Passwort der Box gezeigt? Oder nur "sekundäre" Passwörter wie wlan,email,voip?

 

[scolopender]

Golem hat berichtet:
"Die Fritzbox führe dann einige Befehle aus, über die die Konfigurationsdatei des Routers auf einen externen Server kopiert werde."

Welche Befehle das sein könnten (zuminest teilweise), steht hier.

Dieses allcfgconv liefert komplett Klartext (wie man auch in dem o. a. heise-Bild sieht).

G., -#####o:

 

[Spacefish]

Man kann über die Lücke beliebige Shell Befehle ausführen und bekommt deren Rückgabe. Das ist aber nicht wirklich nötig, da man diese auch einfach in eine Datei umleiten kann, die man später abruft.
Das Hardware secret bietet nur einen oberflächlichen Schutz, da man es einfach auslesen kann. Es steht ja im Flash soweit ich das weiß.

 

[inquisitor]

Heute habe ich festgestellt, daß die 7390 eines Bekannten, die noch am 8. Februar 2014 auf die mutmaßlich gefixte FritzOS Version 84.06.03 aktualisiert wurde, gehacked wurde um darüber Auslandstelefonate zu führen.

Offenbar wurde eine VoIP-Account als Telefoniegerät eingerichtet und folgende Telefonate in die Ukraine und nach Monaco darüber geführt, wobei anzumerken ist, daß die monegassichen Rufnummerngassen +37744 und +37745 vom kosovarischen Mobilfunkanbieter Vala genutzt werden, sodaß die Anrufe geografisch wohl in den Kosovo gingen:

25.02.14 08:06		0037745255410	IP-Telefon 1	Internet: 00497XXXXXXXXX	0:01
25.02.14 08:06		0037745255410	IP-Telefon 1	Internet: 00497XXXXXXXXX	0:01
25.02.14 08:06		0037745255410	IP-Telefon 1	Internet: 00497XXXXXXXXX	0:01
25.02.14 08:06		0037745255410	IP-Telefon 1	Internet: 00497XXXXXXXXX	0:01
25.02.14 08:00		0037745255410	IP-Telefon 1	Internet: 00497XXXXXXXXX	0:06
25.02.14 08:00		0037745255410	IP-Telefon 1	Internet: 00497XXXXXXXXX	0:07
25.02.14 08:00		0037745255410	IP-Telefon 1	Internet: 00497XXXXXXXXX	0:01
25.02.14 07:58		0037745255410	IP-Telefon 1	Internet: 00497XXXXXXXXX	0:02
25.02.14 07:45		0037745255410	IP-Telefon 1	Internet: 00497XXXXXXXXX	0:15
25.02.14 07:45		0037745255410	IP-Telefon 1	Internet: 00497XXXXXXXXX	0:14
25.02.14 07:44		0037745255410	IP-Telefon 1	Internet: 00497XXXXXXXXX	0:01
25.02.14 07:29		00380946508951	IP-Telefon 1	Internet: 00497XXXXXXXXX	0:01

Glücklicherweise war in den Wahlregeln für Auslands- und Mobiltelefonate justvoip.com (Dellmont) eingerichtet, wo nur noch wenige Euro Guthaben vorhanden waren, sodaß der Mißbrauch bald endete.

Anschließend wurden noch folgende Anrufe nach Monaco und in die Ukraine versucht:

25.02.14	08:24:59	Internettelefonie mit [email protected] über sip.justvoip.com war nicht erfolgreich. Ursache: Temporarily not available (480)
25.02.14	08:24:54	Internettelefonie mit [email protected] über sip.justvoip.com war nicht erfolgreich. Ursache: Temporarily not available (480)
25.02.14	08:24:18	Internettelefonie mit [email protected] über sip.justvoip.com war nicht erfolgreich. Ursache: Temporarily not available (480)
25.02.14	08:24:14	Internettelefonie mit [email protected] über sip.justvoip.com war nicht erfolgreich. Ursache: Temporarily not available (480)
25.02.14	08:16:08	Internettelefonie mit [email protected] über sip.justvoip.com war nicht erfolgreich. Ursache: Temporarily not available (480)
25.02.14	08:15:33	Internettelefonie mit [email protected] über sip.justvoip.com war nicht erfolgreich. Ursache: Temporarily not available (480)
25.02.14	08:15:28	Internettelefonie mit [email protected] über sip.justvoip.com war nicht erfolgreich. Ursache: Temporarily not available (480)
25.02.14	08:14:53	Internettelefonie mit [email protected] über sip.justvoip.com war nicht erfolgreich. Ursache: Temporarily not available (480)
25.02.14	08:14:48	Internettelefonie mit [email protected] über sip.justvoip.com war nicht erfolgreich. Ursache: Temporarily not available (480)
25.02.14	08:14:13	Internettelefonie mit [email protected] über sip.justvoip.com war nicht erfolgreich. Ursache: Temporarily not available (480)
25.02.14	08:14:08	Internettelefonie mit [email protected] über sip.justvoip.com war nicht erfolgreich. Ursache: Temporarily not available (480)
25.02.14	08:13:32	Internettelefonie mit [email protected] über sip.justvoip.com war nicht erfolgreich. Ursache: Temporarily not available (480)
25.02.14	08:13:27	Internettelefonie mit [email protected] über sip.justvoip.com war nicht erfolgreich. Ursache: Temporarily not available (480)
25.02.14	08:12:53	Internettelefonie mit [email protected] über sip.justvoip.com war nicht erfolgreich. Ursache: Temporarily not available (480)
25.02.14	08:12:48	Internettelefonie mit [email protected] über sip.justvoip.com war nicht erfolgreich. Ursache: Temporarily not available (480)
25.02.14	08:12:12	Internettelefonie mit [email protected] über sip.justvoip.com war nicht erfolgreich. Ursache: Temporarily not available (480)
25.02.14	08:12:07	Internettelefonie mit [email protected] über sip.justvoip.com war nicht erfolgreich. Ursache: Temporarily not available (480)
25.02.14	08:11:33	Internettelefonie mit [email protected] über sip.justvoip.com war nicht erfolgreich. Ursache: Temporarily not available (480)
25.02.14	08:11:28	Internettelefonie mit [email protected] über sip.justvoip.com war nicht erfolgreich. Ursache: Temporarily not available (480)
25.02.14	08:10:52	Internettelefonie mit [email protected] über sip.justvoip.com war nicht erfolgreich. Ursache: Temporarily not available (480)
25.02.14	08:10:47	Internettelefonie mit [email protected] über sip.justvoip.com war nicht erfolgreich. Ursache: Temporarily not available (480)
25.02.14	08:10:27	Internettelefonie mit [email protected] über sip.justvoip.com war nicht erfolgreich. Ursache: Temporarily not available (480)
25.02.14	08:10:22	Internettelefonie mit [email protected] über sip.justvoip.com war nicht erfolgreich. Ursache: Temporarily not available (480)
25.02.14	08:09:47	Internettelefonie mit [email protected] über sip.justvoip.com war nicht erfolgreich. Ursache: Temporarily not available (480)
25.02.14	08:09:42	Internettelefonie mit [email protected] über sip.justvoip.com war nicht erfolgreich. Ursache: Temporarily not available (480)
25.02.14	08:09:07	Internettelefonie mit [email protected] über sip.justvoip.com war nicht erfolgreich. Ursache: Temporarily not available (480)
25.02.14	08:09:02	Internettelefonie mit [email protected] über sip.justvoip.com war nicht erfolgreich. Ursache: Temporarily not available (480)
25.02.14	08:08:27	Internettelefonie mit [email protected] über sip.justvoip.com war nicht erfolgreich. Ursache: Temporarily not available (480)
25.02.14	08:08:21	Internettelefonie mit [email protected] über sip.justvoip.com war nicht erfolgreich. Ursache: Temporarily not available (480)
25.02.14	08:07:46	Internettelefonie mit [email protected] über sip.justvoip.com war nicht erfolgreich. Ursache: Temporarily not available (480)
25.02.14	08:07:41	Internettelefonie mit [email protected] über sip.justvoip.com war nicht erfolgreich. Ursache: Temporarily not available (480)
25.02.14	08:07:07	Internettelefonie mit [email protected] über sip.justvoip.com war nicht erfolgreich. Ursache: Temporarily not available (480)
25.02.14	08:07:01	Internettelefonie mit [email protected] über sip.justvoip.com war nicht erfolgreich. Ursache: Temporarily not available (480)

Eingerichtet wurde der zum Mißbrauch genutzte VoIP-Account offenbar an folgendem Zeitpunkt:

22.02.14	05:03:42	Anmeldung an der FRITZ!Box Benutzeroberfläche von IP-Adresse 2002:d599:XXXX::a060:1b63:4710:9558.

Die aufgeführte IPv6-Adresse hat allerdings denselben Präfix wie die bis heute verwendete IP des Geschädigten (ist das evtl. ein Hinweis auf die Art und Weise des Hacks?).

Die Frage ist nun haben die Täter diese FritzBox tatsächlich schon vor dem 8. Februar gehacked und erst über zwei Wochen später mit dem Mißbrauch begonnen oder hat die aktuelle Firmware womöglich immer noch eine Sicherheitslücke? Außerdem stellt sich die Frage, welches Motiv die Täter hatten. Daß tatsächlich Telefongespräche geführt wurden, ist bei diesen kurzen Verbindungsdauern und der hohen Anruffrequenz auszuschließen. Daher bleibt nur die Erklärung, daß die Täter entweder die bloße Absicht hatten Schaden zu verursachen oder aber daß diese zugunsten der bevorteilten Netzbetreiber, die das Temrinierungsentgelt kassiert haben, stehen.

Auf der FritzBox war sowohl der myfritz Zugang als auch der Fernzugriff eingerichtet, allerdings waren schon immer für myfritz komplett abweichende Zugangsdaten festgelegt worden. Daß die Passwörter per brutforce-Attacke herausgefunden wurden, ist auszuschließen, da sie erstens nicht so trivial waren und zweitens keine fehlgeschlagenen Anmeldeversuche im Log zu sehen sind.

Die FritzBox ist übrigens über die EnBW-Tochter Neckarcom online und die IP zum Tatzeitpunkt stammte aus dem Subnetz 213.153.90.0

 

[koyaanisqatsi]

Knifflig, weil es ja in so einer Überschneidungsphase passiert ist.
Die Info fehlt, ob die üblichen Sicherheitsmassnahmen getroffen wurden.
Und dass muss auch noch in der richtigen Reihenfolge und Zeitnah erfolgen.
Wenn Firmware geupdatet aber Passwörter nicht, war er halt in der Liste weiter unten.
Oder eventuell doch einer von den 16 Millionen EMail Geschädigten.

 

[inquisitor]

Mir ist zwar bis heute nicht klar wie diese 16m geklauten eMail-Zugangsdaten in Verbindung mit der FritzBox stehen (haben die Betroffenen ihre eMail-Zugangsdaten auch für den Fernzugang zur FritzBox eingerichtet?), aber die vorliegend für myfritz verwendete eMail-Adresse (eigene Domain über GMail/Google Apps for Business) ist laut BSI Sicherheitscheck nicht betroffen.