AVM Sicherheitslücke - Testseite

[qwertz.asdfgh]

Eine Variante die alle drei Möglichkeiten für den Zugriff auf die FritzBox testet, wäre wohl am besten. ?

Wozu? Der Test eruiert ob die Schwachstelle vorhanden ist oder nicht und das geht am zuverlässigsten mit der echten IP-Adresse der FritzBox. Ob eigene Verbiegungen für die Notfall IP und fritz.box usw. funktionieren kann man doch relativ einfach selber testen.

 

[sibsnonto]

Stimmt, das wäre hier dann bei dem Test nicht unbedingt von belang...

 

[qwertz.asdfgh]

Eine kleine Anmerkung noch:

Mittlerweile wird fritz.box als Standard eingesetzt mit folgendem Hinweis:

Standard: fritz.box oder 192.168.178.1

Da es aber auch betroffene Speedport-Modelle gibt könnte man das vielleicht erweitern:

Standard Fritz!Box: fritz.box oder 192.168.178.1
Standard Speedport: speedport.ip oder 192.168.2.1

 

[RalfFriedl]

(Anfrage auch über die Notfall-IP ?)
Ja, funktioniert wenn im Rechner die FritzBox als DNS-Server eingetragen ist (was ja i.d.R. Standard ist). Das wurde hier schon in einem anderen Thread ausprobiert/besprochen.

Für den Zugriff auf die Notfall-IP, oder auf jede andere explizit genannte IP-Adresse, braucht man gar keinen DNS Server, also soielt es auch keine Rolle, ob die FritzBox als DNS-Server eingetragen ist.

Die beste bzw. zuverlässigste Variante wäre also die Notfall IP, denn das lässt sich noch schwerer abwürgen als 'fritz.box'.

Hier geht es um einen Test und nicht um einen Angriff.

@Joe
Deine Adresse wird nicht geklaut, Du hast sie ja noch.
Sie wird auch an jeden Web-Server übermittelt, bei dem Du eine Seite aufrufst, ob vorher darauf hingewiesen wird oder nicht. Speziell ist es technisch unmöglich, vorher darauf hinzuweisen, dann dafür müsstest Du den Hinweis abrufen, und dafür müsstest Du erst Deine Adresse an den Server senden. Sie wird insbesondere auch an jeden übermittelt, der Werbung schaltet auf den Seiten, die Du aufrufst.

 

[qwertz.asdfgh]

Für den Zugriff auf die Notfall-IP, oder auf jede andere explizit genannte IP-Adresse, braucht man gar keinen DNS Server,

Ja stimmt, da habe ich was verwechselt bzw. mal kurz nicht nachgedacht. Somit dürfte die Notfall IP statistisch gesehen also doch die zuverlässigste Variante sein.

Sie wird auch an jeden Web-Server übermittelt, bei dem Du eine Seite aufrufst, ob vorher darauf hingewiesen wird oder nicht. ...

Mit "geklaut" meinte er wohl das diese (für 15s) in einer Datenbank gespeichert wird.

 

[erik]

Ich bin zwar kein Netzwerkexperte, aber für den Zugriff über die Notfall-IP müßte das Programm dann wohl erst die Netzwerkkonfiguration der Computers anpassen.

 

[sibsnonto]

Das dachte ich auch erst, aber es geht auch so (edit: aber scheinbar doch nicht immer) ( bin auch kein Netzwerkexperte ). Ich glaube es ging bei mir aber auch nur wenn der DSL-Zugang aktiv war, was aber ja normal immer der Fall ist...
Du kannst es ja einfach versuchen http://169.254.1.1:80

 

[KunterBunter]

Der DNS-Server dient zur Namensauflösung (Domain Name System), d.h. zur Umsetzung in IP-Adressen. IP-Adressen kann man nicht auflösen.

 

[sibsnonto]

Dann hat es mit was anderem zu tun... Jedenfalls geht es ohne die Netzwerkkonfiguration anzupassen.

 

[KunterBunter]

Deshalb hat man ja eine ZeroConf-Adresse dafür genommen.

 

[erik]

Du kannst es ja einfach versuchen http://169.254.1.1:80

Funktioniert bei mir unter Linux, unter Windows 7 aber nicht.
Edit: Unter Windows 8.1 auch nicht.

 

[scolopender]

... eine ZeroConf-Adresse ...

Wenn der Rechner, von dem aus der Zugang versucht wird, selber keine solche hat (weil anderweitig bezogen oder fest eingestellt), funktioniert diese Notfall-IP auch nicht.

G., -#####o:

 

[RalfFriedl]

Funktioniert bei mir unter Linux, unter Windows 7 aber nicht.
Edit: Unter Windows 8.1 auch nicht.

Vielleicht filtert das Windows diese Adressen, wenn es eine Adresse vom DHCP Server bekommen hat. Windows XP tut dies nicht.

Wenn der Rechner, von dem aus der Zugang versucht wird, selber keine solche hat (weil anderweitig bezogen oder fest eingestellt), funktioniert diese Notfall-IP auch nicht.

Wenn der Rechner eine normale Adresse über DHCP bezogen hat und keine spezielle Route für 169.254.1.1 hat, sendet er Pakete an das Standard Gateway. Und diese Gateway, die Box, stellt fest, dass das es ihre eigene Adresse ist, und reagiert folglich auf diese Pakete.

 

[KunterBunter]

Edit: Unter Windows 8.1 auch nicht.

Bei mir schon, obwohl der PC eine Adresse vom DHCP Server bekommen hat. Was ist bei dir anders?

 

[sibsnonto]

Habs auch nochmal getestet mit meiner Testbox (5140), bin jetzt total verwirrt. Wenn ich die Notfall-IP ändere auf zB 171.254.1.1 dann komme ich damit auf die Fritzbox über den Browser, wie ich oben gemeint habe. Wenn ich aber wieder zurück auf die Standard gehe mit 169.254.1.1 komme ich ohne Änderung der Netwerkkonfiguration nicht auf die FritzBox... (alles unter Windows 7, DHCP an auf FritzBox)

 

[erik]

Was ist bei dir anders?

Keine Ahnung, Win 8.1 pro 32 bit. Das Netz läuft mit 192.168.11.0/24.

Und diese Gateway, die Box, stellt fest, dass das es ihre eigene Adresse ist, und reagiert folglich auf diese Pakete.

Kann nicht sein. Unter Linux antwortet auf die 169.254.1.1 meine 7390. Standardgateway ist aber die 7240, die als Router konfiguriert ist, während die 7390 als Client mit fester IP konfiguriert ist und Switch spielt.

 

[RFZ]

Grüße,
der Test funktioniert ja nur, wenn die FB auch online ist, da ein wget ausgeführt wird...
Kann man das nicht auch anders gestalten, dass es auch offline funktioniert? (ja, ich weiss, dann geht keine Statistik mehr )

Ich hab leider keine verwundbare FB mehr zum testen, aber wie sieht denn die Ausgabe der aufgerufenen URL der FB aus? Kommt da eine Fehlermeldung zurück, oder sogar ggf. der Output des ausgeführten Befehls? (das würde mich wirklich interessieren!)

Du könntest ja da die FB-URL in einen Frame einbinden. Wenn man dann die Fehlerseite der FB sieht, ist man verwundbar. Wird man auf den Login geleitet, ist man es nicht.

P.S. Es kommt nie gut wenn ein Proof of concept für eine Sicherheitslücke selbst Sicherheitslücken hat. Mit der Maskierung von Text in HTML nimmst du es wohl nicht so genau

 

[qwertz.asdfgh]

Ich hab leider keine verwundbare FB mehr zum testen, aber wie sieht denn die Ausgabe der aufgerufenen URL der FB aus?

"IP gespeichert" Aber das nutzt dir nichts.
Für einen lokalen Test kannst du ja statt wget z.B. einen anderen Befehl anhängen. z.B. der einen reboot auslöst (/sbin/reboot) oder eine Datei im tmp-Ordner erstellt oder oder...

 

[RFZ]

Ich meinte nicht die Rückmeldung des PHP-Skripts des Tests, sondern die Rückmeldung der FritzBox mit code-injection. Die ist entweder konstant, aber von der Antwort einer gepatchten Box verschieden, identisch, oder eine Funktion des Parameters. Letzteres wäre am spannendsten. Auf jeden fall würde sie sich für einen offline-test nutzen lassen.

Die Möglichkeit des Reebots ist klar, ist aber sehr invasiv. Ebenso das schreiben aufs Dateisystem. Letzteres könnte man nutzen um ein Bild im www-Ordner der Box anzulegen dass man dann wiederum im Test laden kann. Ich frage mich aber, ob es nicht ohne schreibzugriff geht, ein Testergebnis zu erhalten.

 

[qwertz.asdfgh]

Ich frage mich aber, ob es nicht ohne schreibzugriff geht, ein Testergebnis zu erhalten.

Ja, mit einem ausgeführten Reboot z.B.

edit

Die Möglichkeit des Reebots ist klar, ist aber sehr invasiv.

Warum? Was ist an einem Reboot so invasiv? Möchtest du nun eine Box intern testen oder nicht?