AVM Sicherheitslücke - Testseite

[akhonych]

Hallo Community,
ich habe mir etwas Zeit genommen und eine Seite programmiert, die eure FritzBox auf die aktuelle Lücke überprüft:

http://v4.khonych.in/avmtest/

Funktionsweise:
1. Der Browser ruft eine präparierte URL von der FritzBox ab.
2. Die FritzBox greift dabei auf einen PHP-Script zu, welches die
öffentliche IP auf dem Server abspeichert.
3. Auf der dritten Seite wird überprüft ob eure IP Adresse in der
Datenbank vorhanden ist. Sollte dies der Fall sein, wird diese
gelöscht und eine dementsprechende Meldung kommen.

Anmerkung: Dieser Test bezieht sich NUR auf die aktuelle Lücke. Alle anderen/älteren Sicherheitslücken werden NICHT berücksichtigt.

Gruß,
Anton

Meldung zur Sicherheitslücke:
http://www.heise.de/security/meldung/Hack-gegen-AVM-Router-Fritzbox-Luecke-offengelegt-Millionen-Router-in-Gefahr-2136784.html

 

[HabNeFritzbox]

Gibt doch schon Themen zu -> http://www.ip-phone-forum.de/showthread.php?t=267578

 

[RalfFriedl]

Das hier ist nicht eine Diskussion über die Schwachstelle, sondern ein konkreter Test.

 

[NanoBot]

Danke für die Testmöglichkeit. Abgesehen davon, daß ich schon die neuere Firmware habe und daher nicht betroffen bin zeigt sich hierbei was ich schon vermutet habe:

Wenn man "RequestPolicy" installiert hat, dann wird der XSRF Versuch erkannt und abgeblockt.

Edit:

<html>
<title>Ergebnise</title>
<body>
<h1>Ihre FritzBox ist betroffen! Es wird dringend empfohlen neue Firmware zu installieren!</h1>
<h1>Your FritzBox ist vulnerable! Its recomended to upgrade your firmware!</h1>
</bod<>
</html>

Ergebnisse schreibt man mit zwei s ;-)

 

[akhonych]

Danke für die Testmöglichkeit. Abgesehen davon, daß ich schon die neuere Firmware habe und daher nicht betroffen bin zeigt sich hierbei was ich schon vermutet habe:

Wenn man "RequestPolicy" installiert hat, dann wird der XSRF Versuch erkannt und abgeblockt.

Edit:



Ergebnisse schreibt man mit zwei s ;-)

Hallo,
ja das ist mir auch aufgefallen Musst du kurz ausschalten um testen zu können.

Gruß,
Anton

 

[NanoBot]

Klar. um den Test verwenden zu können muß ich den Zugriff auf die IP der Box temporär bei RequestPolicy freigeben.

Auf Wunsch von akhonych habe ich die URL, welche zu Testzwecken von der Fritzbox per wget geladen werden soll entfernt. akhonych möchte nämlich mit seiner Seite auch eine Statistik erstellen und diese Statistik würde durch direkten Aufruf der Testurl natürlich verfälscht werden.

 

[akhonych]

Klar. um den Test verwenden zu können muß ich den Zugriff auf die IP der Box temporär bei RequestPolicy freigeben.

Man kann aber auch http://........../fritz.php manuell im Browser laden während der Test läuft ;-)

Diese Datei bitte nicht selbst laden, die FritzBox muss auf diese URL zugreifen und nicht euer PC. Wenn ihr direkt drauf zugreift wird das Ergebnis verfälscht.

Gruß,
Anton

 

[NanoBot]

Mir ist schon klar daß man diese Datei nicht manuell laden soll, sondern die Box ( wenn betroffen ) diese URL per wget laden wird.

Ich wollte nur mal sehen welche Meldung ich bekommen würde, wenn meine Box betroffen wäre.

 

[akhonych]

Aktueller Stand: ca 30 Betroffene Geräte innerhalb von 2 Stunden entdeckt.

Ich werde später Statistiken einprogrammieren.

Gruß,
Anton

Edit: Statistik ist auf der Startseite online!

 

[qwertz.asdfgh]

Aktueller Stand: ca 30 Betroffene Geräte innerhalb von 2 Stunden entdeckt.

Ziehe meinerseits schon einmal 3-4 ab. Ich habe das erst jetzt hier gelesen und vorhin absichtlich falsche Testergebnisse provoziert indem ich parallel an meinem Rechner "wget ....../fritz.php" ausgeführt habe.

Entschuldigung, ich wusste nicht das du das statistisch auswerten möchtest, aber ich befürchte ich bin nicht der einzige der Neugierig ist was für eine Meldung kommt wenn die Box den Befehl ausgeführt hätte.

 

[akhonych]

Ziehe meinerseits schon einmal 3-4 ab. Ich habe das erst jetzt hier gelesen und vorhin absichtlich falsche Testergebnisse provoziert indem ich parallel an meinem Rechner "wget ....../fritz.php" ausgeführt habe.

Entschuldigung, ich wusste nicht das du das statistisch auswerten möchtest, aber ich befürchte ich bin nicht der einzige der Neugierig ist was für eine Meldung kommt wenn die Box den Befehl ausgeführt hätte.

Hallo,
ich sortiere zurzeit mittels user agent, das ist normal

Gruß,
Anton

 

[qwertz.asdfgh]

Vernünftig

Was gibt eigentlich wget als User Agent zurück? Ich habe den Link ja wie gesagt nicht mit dem Browser sondern mit wget unter Ubuntu ausgeführt. Gibt wget also auch die Plattform und/oder die Version im User Agent string mit an?

edit
Gerade selber herausbekommen unter Ubuntu 12.04 x86_64:

User-Agent: Wget/1.13.4 (linux-gnu)

edit 2
Solltest du also positive Anfragen von diesem User-Agent vorfinden kommen die nicht von einer betroffenen FritzBox , ich denke mal die auf der FritzBox vorh. Version dürfte sich unterscheiden.

 

[SaschaBr]

@ akhonych: Wieso fragst Du eigentlich nach der internen IP der Box, müsste doch auch einfach mit "fritz.box" funktionieren, oder?

 

[sibsnonto]

Hi,

"fritz.box" als Anfrage fände ich auch sinnvoller, weil man die Standard-IP (192.168.178.1) ja leicht im Webinterface der FritzBox ändern kann. Mit "fritz.box" wird es da schon schwieriger, da hilft dann entweder nur eine Portänderung oder man tut in der "hosts" der Box was umleiten, oder auf dem PC (was dann aber nur für den jeweiligen PC was bringt...).
Ginge die Anfrage auch über die Notfall-IP ? Ich komme bei meiner FritzBox nur über die Notfall-IP rein, wenn ich im selben IP-Bereich bin, so wie hier beschrieben http://service.avm.de/support/de/SK...nutzeroberflaeche-ueber-Notfall-IP-einrichten also dürfte das ja eigentlich nicht gehen.

MfG

 

[scolopender]

Bei Angabe einer falschen IP-Adresse (z.B. 192.168.178.11 statt 192.168.178.1) oder wenn "fritz.box" nicht aufgelöst werden kann (weil DHCP aus) ist meine FRITZ!Box auch nicht betroffen.

G., -#####o:

 

[Joe_57]

Funktionsweise:
1. Der Browser ruft eine präparierte URL von der FritzBox ab.
2. Die FritzBox greift dabei auf einen PHP-Script zu, welches die
öffentliche IP auf dem Server abspeichert.
3. Auf der dritten Seite wird überprüft ob eure IP Adresse in der
Datenbank vorhanden ist. Sollte dies der Fall sein, wird diese
gelöscht und eine dementsprechende Meldung kommen.

zu 1.) Meine FritzBox enthält also eine präparierte URL?
zu 2.) Meine öffentliche IP wird geklaut und irgendwo zwischengespeichert?
zu 3.) In welcher Datenbank soll denn meine IP stehen?

Joe

 

[qwertz.asdfgh]

Ginge die Anfrage auch über die Notfall-IP ?

Ja, funktioniert wenn im Rechner die FritzBox als DNS-Server eingetragen ist (was ja i.d.R. Standard ist). Das wurde hier schon in einem anderen Thread ausprobiert/besprochen.

Die beste bzw. zuverlässigste Variante wäre also die Notfall IP, denn das lässt sich noch schwerer abwürgen als 'fritz.box'.

Warum akhonych zum Testen vermutlich über die normale IP-Adresse geht hat vielleicht einen anderen Grund, wenn jemand einen externen DNS-Server auf seinem Rechner eingetragen hat funktioniert weder fritz.box noch die Notfall-IP, von daher ist es durchaus sinnvoll beim Test die echte interne IP abzufragen um evtl. falsche Testergebnisse zu unterbinden.



edit
@Joe
Man kann die Funktionsweise des Tests mit Hilfe des HTML Quelltext sehr gut selber nachvollziehen. Besonders Pkt. 2 ist eine ziemliche Unterstellung da explizit vor dem Test darauf hin gewiesen wird.
Zu Pkt. 1: nicht "enthält" sondern "erhält". Zu Pkt. 3: In der Datenbank des Webseitenbetreiber. Die IP hat er vorher durch den Aufruf der Testseite von deinem Rechner aus erhalten, das ganze funktioniert also nur per IPv4.

edit 2
@akhonych
Im Zusammenhang mit Pkt. 3 kommt mir gerade ein Gedanke, das könnte doch an Carrier-grade NAT Anschlüssen (z.B. wie bei den Kabelanbietern mit DS-Lite) ein Problem sein, gerade wenn die öffentliche IP auch noch häufig wechselt könnte es dadurch durchaus zu falschen Ergebnissen kommen...

 

[sibsnonto]

Ja, funktioniert wenn im Rechner die FritzBox als DNS-Server eingetragen ist (was ja i.d.R. Standard ist)..

Danke für die Antwort, stimmt habe gerade den Versuch nochmal gemacht und es geht auch ohne das ich den IP-Bereich anpasse.

Die beste bzw. zuverlässigste Variante wäre also die Notfall IP, denn das lässt sich noch schwerer abwürgen als 'fritz.box'.

Das würde ich jetzt nicht unbedingt sagen, ich habe meine Notfall-IP relativ einfach ändern können, indem ich die Konfigurations- Export-Datei (über das Webinterface der Fritzbox gesichert) angepasst habe (http://www.ip-phone-forum.de/showthread.php?t=267717&p=1991498&viewfull=1#post1991498) und wieder zurückgesichert habe auf die FritzBox.

"fritz.box" zeigt sich da widerspenstiger meiner Meinung (siehe auch http://www.ip-phone-forum.de/showthread.php?t=267717), wobei man wie gesagt durch eine Portänderung (auch in der Export-Datei möglich) wenigstens erreicht das es nur unter "fritz.box:6789" (als Bsp) geht.

MfG

 

[qwertz.asdfgh]

"fritz.box" zeigt sich da sehr viel widerspenstiger meiner Meinung

Das kann man im Endeffekt sehen wie man will, bei mir war die Lösung mit der host-Datei auf der FritzBox (7390 + Freetz mit DNSmasq) einfacher als das verbiegen der Notfall IP.

 

[sibsnonto]

Ja wenn man Freetz drauf hat ist das kein Ding.

Eine Variante die alle drei Möglichkeiten für den Zugriff auf die FritzBox testet, wäre wohl am besten. ?