- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,298
- Punkte für Reaktionen
- 1,760
- Punkte
- 113
[ EDIT: Am 11.04.2017 wurden von mir dann zwei Dateien veröffentlicht, die das Prinzip eines solchen DoS-Angriffs auf eine FRITZ!Box mit einer Firmware-Version < 06.80 illustrieren. Damit ist das Thema hier dann (m.E.) auch erledigt - ob ich etwas daraus gelernt habe und was genau das sein könnte, kann ich noch nicht richtig einschätzen. Das hängt wohl auch davon ab, wie sich AVM bei künftigen Funden (ich gehe mal davon aus, daß es noch weitere geben wird ;-)) verhalten wird. ]
Soll/darf man etwas veröffentlichen, was als "proof of concept" einen DoS-Angriff auf verschiedene FRITZ!Box-Modelle mit Firmware < 06.80 illustriert? (Ab) Wann sollte man das machen?
Es geht um ein schon länger an AVM gemeldetes Problem und ich weiß recht genau, daß ich schon einmal einen entsprechenden Beitrag vorbereitet/geschrieben hatte, halt noch ohne konkreten Exploit und nur mit einer verbalen Beschreibung der Konsequenzen.
Den finde ich jetzt nicht mehr (es kann auch sein, daß ich den wirklich nur vorbereitet hatte und ihn dann doch noch nicht veröffentlicht habe, dann ist auch das "Manuskript" inzwischen irgendwie verloren gegangen oder ich brauche wohl doch einen Cloud-Speicher für diese Dinge, weil ich auf dem falschen Gerät danach suche) und daher hier noch einmal eine kurze (im Rahmen meiner eher bescheidenen Möglichkeiten in diesem Punkt) Zusammenfassung der Eckpunkte:
Eine "Besserung" von alleine ist nach einem erfolgten Angriff eher nicht zu erwarten, denn 180 Requests a 40 Minuten ergeben in der Summe praktisch 5 Tage, bis alle anstehenden Requests (das "Einliefern" dauert vielleicht drei Minuten) komplett abgearbeitet wurden und die angegriffene Komponente wieder für "normale" Aufgaben zur Verfügung steht. Allerdings funktioniert ab der Unterschreitung eines Limits von offenen Requests dann doch wieder die Annahme neuer TCP-Verbindungen - dazu war bei meinen Tests dann das "Abräumen" von ca. 130 dieser wartenden Requests notwendig, bis wieder TCP-Verbindungen angenommen wurden (genauer, bis sich die Login-Seite im Browser dann doch noch öffnete). Rechnet man diese 130 Requests a 40 Minuten in eine Dauer um, ist durch einen einzigen Aufruf einer "kontaminierten" Seite (das als "Angriffsmuster" zu erkennen, dürfte - zumindest derzeit - auch irgendwelche Security-Suites überfordern, sofern AVM das nicht an deren Hersteller gemeldet hat), die ca. 3 Minuten angesehen werden müßte für diese 180 Requests (die hintereinander zu senden, überfordert viele Browser und eine Pause ist in "gewöhnlichem" Javascript mit < 1 Sekunde schwer zu realisieren) ... die Blockade dauert dann 86 Stunden. Das fällt vermutlich nur in sehr wenigen Installationen nicht auf ... ich vergaß auch noch zu erwähnen, daß die eigentliche Router-Funktion dabei gar nicht beeinträchtigt wird - dabei werden ja keine TCP-Verbindungen zur FRITZ!Box aufgebaut (mal vom Gastnetz und der KiSi abgesehen, wo das auch mal passieren kann).
Auf der Basis der beschriebenen Eigenschaften habe ich für die Lücke folgenden CVSS-Wert ermittelt:
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:F/RL:U/RC:U/CR:X/IR:X/AR:X/MAV:N/MAC:L/MPR:N/MUI:N/MS:U/MC:N/MI:N/MA:H
Das ergibt dann im Endergebnis einen Base-Score von 7.5 und einen Overall-Score von 6.7:
https://nvd.nist.gov/cvss/v3-calcul...X/MAV:N/MAC:L/MPR:N/MUI:N/MS:U/MC:N/MI:N/MA:H
, der sich bei einer Änderung der "Report Confidence" von "Unknown" in "Resonable" (also bei der Veröffentlichung der Details inkl. Exploit, für "Confirmed" müßte AVM reagieren) dann auf 7.0 erhöhen würde.
Ob AVM mit dieser Einschätzung einverstanden ist oder eine andere Bewertung vornehmen würde, war trotz mehrfacher Rückfragen nicht zu erfahren ... überhaupt ist die Reaktion hinsichtlich der Bestätigung dieses Fundes eher spärlich ausgefallen. Die neueste Entwicklung (abseits der bereits im Repository geschilderten Timeline) ist folgende:
-Ich habe am Mittwoch gegen Mittag (13 Uhr) von AVM eine E-Mail erhalten, daß nunmehr die nächste Release-Version für die 7490 erschienen ist. Das war mir zwar seit Montag bereits bekannt, aber AVM hatte damit die einzige Konzession, zu der sie sich bisher bereit erklärt haben, erfüllt - das war einmal eine E-Mail beim Erscheinen der ersten gefixten Labor-Version und nunmehr diese eine beim Erscheinen der Release-Version.
Darin enthalten war auch die folgende Bitte:
Ich hatte die Veröffentlichung ja bereits zuvor angekündigt (irgendwann Anfang Dez. 2016), weil sich AVM so gar nicht rührte und das dann nur auf der Basis einer Benachrichtigung vom 08.12. (als Reaktion auf eine weitere E-Mail von mir vom 30.11. mit einer diesbezüglichen Nachfrage), daß die Veröffentlichung der Release-Version im Dezember 2016 "unwahrscheinlich erscheint", noch einmal verschoben.
Es gibt jetzt in meinen Augen gute Gründe für eine Veröffentlichung und ebenso gute (aber weniger und vielleicht doch sogar nicht ganz so gute) Gründe für das Zurückhalten des genauen Aufbaus so eines Requests - das ist (abseits irgendwelcher "fertigen Dateien" zum Download) ja das Veröffentlichen des Exploits.
Für das Veröffentlichen spräche:
Dagegen spricht:
-Nun bin ich zwar auch kein allzu großer Freund einer "Schwarmintelligenz", aber hier im IPPF sind ja vermutlich dann doch die "interessierten" AVM-Benutzer zu finden, die dazu ihre eigene Meinung haben. Die kann mir zwar jeder hier in diesem Thread auch gerne in Worten mitteilen (auch wenn ich gleich darauf aufmerksam machen will, daß ich nicht auf langwierige Diskussionen eingehen werde (ist tatsächlich so) und irgendwelche Beschimpfungen einfach über die "Ignorieren"-Liste ausblenden lasse), aber - auch wenn ich es noch nie gemacht habe - das Forum hat ja eine Funktion für "Umfragen".
Ich würde also (mal schauen, wie das überhaupt funktioniert) einige "einfache" Antworten vorgeben und wer mit den verschiedenen "disclosure strategies" nichts anfangen kann, findet hier beim BSI einen Überblick:
Lebenszyklus einer Schwachstelle (BSI-A-CS 002) - 2012-03_Lebenszyklus_einer_Schwachstelle.pdf
und wer sich noch nie der Frage gestellt hat, was man als Hersteller in diesen Punkten eigentlich tun sollte, kann auch diese Datei einmal ansehen:
Handhabung von Schwachstellen - Empfehlungen für Hersteller - BSI-CS_019.pdf
Bleibt die Aufzählung der "Wahlmöglichkeiten" (bitte "aber jeder nur ein Kreuz", auch wenn das im Originalwerk ein anderes "Kreuz" war und bei der "Wahl" gibt es nur die Texte vor dem "Pfeil", der Rest ist nur "Begründung"):
Soll/darf man etwas veröffentlichen, was als "proof of concept" einen DoS-Angriff auf verschiedene FRITZ!Box-Modelle mit Firmware < 06.80 illustriert? (Ab) Wann sollte man das machen?
Es geht um ein schon länger an AVM gemeldetes Problem und ich weiß recht genau, daß ich schon einmal einen entsprechenden Beitrag vorbereitet/geschrieben hatte, halt noch ohne konkreten Exploit und nur mit einer verbalen Beschreibung der Konsequenzen.
Den finde ich jetzt nicht mehr (es kann auch sein, daß ich den wirklich nur vorbereitet hatte und ihn dann doch noch nicht veröffentlicht habe, dann ist auch das "Manuskript" inzwischen irgendwie verloren gegangen oder ich brauche wohl doch einen Cloud-Speicher für diese Dinge, weil ich auf dem falschen Gerät danach suche) und daher hier noch einmal eine kurze (im Rahmen meiner eher bescheidenen Möglichkeiten in diesem Punkt) Zusammenfassung der Eckpunkte:
- ein externer HTTPS-Request mit einem bestimmten Aufbau triggert eine Komponente in der Firmware, die dann für 40 Minuten auf weitere Daten wartet und praktisch nichts anderes tut
- da diese Komponente - so sieht es zumindest aus - ein "singleton" ist (das ist ein Prozess, der nur einmal gestartet wird und wo die nächste Instanz erst nach dem Ende der vorherigen laufen kann - manchmal verarbeitet so ein Prozess dann auch mehrere serialisierte Anforderungen, aber hier ist es eben pro Request ein Prozess, der gestartet wird), werden die weiteren eintreffenden Requests für diesen Prozess in eine Warteschlange eingereiht und dann der Reihe nach abgearbeitet
- damit ist zunächst einmal die Bearbeitung weiterer (legitimer) Anforderungen, die die betroffene Komponente verwenden, behindert - je nach "Füllstand" der Warteschlange mit den anhängigen Requests für eine durchaus auch recht lange Zeit
- dieser Request erfordert keinerlei Authentifizierung und kann daher wirklich von jeder beliebigen Adresse im Internet gestartet werden, sofern die FRITZ!Box (das GUI, aka "Fernzugriff" oder wie das heute auch immer genannt werden mag) aus dem Internet erreichbar ist, das ist bereits für viele der AVM-Apps erforderlich
- sind erst einmal genug Requests für diesen einen Prozess eingetroffen, werden auch für andere (externe) Aufrufe keine zusätzlichen HTTPS-Verbindungen mehr angenommen, offenbar hat das FRITZ!OS irgendwo ein Limit (bei mir 15) für gleichzeitige (offene) TLS-Verbindungen
- das Ergebnis ist, daß die FRITZ!Box von außen nicht mehr erreichbar ist, alle externen Zugriffe laufen ja über TCP mit TLS, auch das externe TR-064 über das CGI-Interface für die AVM-Apps
- erst nach 40 Minuten wird dann der gestartete Prozess beendet und der nächste Request aus der Warteschlange verarbeitet (so dort ein weiterer steht), parallel dazu wird dann wieder eine einzelne TLS-Verbindung verfügbar (was nicht automatisch heißen muß, daß die Box nach extern wieder "normal" reagiert, denn einige Client verwenden auch mal mehr als eine TLS-Verbindung gleichzeitig), solange nicht erneut ein DoS-Request abgesetzt wird
- im LAN wirkt die Begrenzung durch die TLS-Verbindungen nicht, aber der Aufruf des Prozesses ist von dort ebenso möglich - für die Warteschlange an sich spielt es auch keine Rolle, ob der Request von innen oder von außen kommt
- im Ergebnis sind im LAN bis zu 170-180 Requests möglich, bevor die Box keine weiteren mehr akzeptiert ... die hier bis zum Anschlag belastete Ressource sind jetzt nicht die parallelen TLS-Verbindungen, sondern TCP-Verbindungen an sich
- im Klartext: werden von innen nur genug derartige Requests gesendet, nimmt die Box keine weiteren TCP-Verbindungen an, das gilt dann auch für SIP (was intern zumindest mit den FRITZ!Apps per TCP arbeitet, ggf. auch bei einigen Telefonen)
- das GUI reagiert dann logischerweise ebenfalls nicht mehr (das sind ja auch HTTP-, sprich TCP-Verbindungen) und die Folge dürfte der Griff des Besitzer zur Stromversorgung der FRITZ!Box sein
- da es für das Blockieren der Ressource auch vollkommen unerheblich ist, ob der Absender eines Requests das Ergebnis verarbeiten kann (der darf sich auch gleich nach dem Senden des Requests verabschieden, ohne daß es die Box stört - es muß also keine Verbindung "offengehalten" werden), spielt auch in einem Browser die Frage einer "same origin policy" (oder des "cross-origin resource sharing" - CORS) keine wirkliche Rolle, weil bei asynchronen HTTP-Requests (über XMLHttpRequest) in der Regel der Netzwerkzugriff trotzdem ausgeführt wird, der Javascript-Code erhält nur keinen Zugriff auf das Resultat dieses Zugriffs
- für diesen DoS-Angriff interessiert ja aber das Ergebnis auch gar nicht und in der Folge ist dieser Angriff eben auch von bzw. über jeden Browser im LAN einer FRITZ!Box auszuführen - dafür reicht bereits das Einbetten eines passenden Javascript-Blocks in irgendeine Werbung (solange man keinen Ad- bzw. Script-Blocker verwendet, aber das muß ich sicherlich nicht jedesmal neu betonen) - dank der "Notfall-IP" ist dafür nicht einmal die Kenntnis des tatsächlich verwendeten Subnetzes notwendig oder eine passende Namensauflösung für "fritz.box"
Eine "Besserung" von alleine ist nach einem erfolgten Angriff eher nicht zu erwarten, denn 180 Requests a 40 Minuten ergeben in der Summe praktisch 5 Tage, bis alle anstehenden Requests (das "Einliefern" dauert vielleicht drei Minuten) komplett abgearbeitet wurden und die angegriffene Komponente wieder für "normale" Aufgaben zur Verfügung steht. Allerdings funktioniert ab der Unterschreitung eines Limits von offenen Requests dann doch wieder die Annahme neuer TCP-Verbindungen - dazu war bei meinen Tests dann das "Abräumen" von ca. 130 dieser wartenden Requests notwendig, bis wieder TCP-Verbindungen angenommen wurden (genauer, bis sich die Login-Seite im Browser dann doch noch öffnete). Rechnet man diese 130 Requests a 40 Minuten in eine Dauer um, ist durch einen einzigen Aufruf einer "kontaminierten" Seite (das als "Angriffsmuster" zu erkennen, dürfte - zumindest derzeit - auch irgendwelche Security-Suites überfordern, sofern AVM das nicht an deren Hersteller gemeldet hat), die ca. 3 Minuten angesehen werden müßte für diese 180 Requests (die hintereinander zu senden, überfordert viele Browser und eine Pause ist in "gewöhnlichem" Javascript mit < 1 Sekunde schwer zu realisieren) ... die Blockade dauert dann 86 Stunden. Das fällt vermutlich nur in sehr wenigen Installationen nicht auf ... ich vergaß auch noch zu erwähnen, daß die eigentliche Router-Funktion dabei gar nicht beeinträchtigt wird - dabei werden ja keine TCP-Verbindungen zur FRITZ!Box aufgebaut (mal vom Gastnetz und der KiSi abgesehen, wo das auch mal passieren kann).
Auf der Basis der beschriebenen Eigenschaften habe ich für die Lücke folgenden CVSS-Wert ermittelt:
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:F/RL:U/RC:U/CR:X/IR:X/AR:X/MAV:N/MAC:L/MPR:N/MUI:N/MS:U/MC:N/MI:N/MA:H
Das ergibt dann im Endergebnis einen Base-Score von 7.5 und einen Overall-Score von 6.7:
https://nvd.nist.gov/cvss/v3-calcul...X/MAV:N/MAC:L/MPR:N/MUI:N/MS:U/MC:N/MI:N/MA:H
, der sich bei einer Änderung der "Report Confidence" von "Unknown" in "Resonable" (also bei der Veröffentlichung der Details inkl. Exploit, für "Confirmed" müßte AVM reagieren) dann auf 7.0 erhöhen würde.
Ob AVM mit dieser Einschätzung einverstanden ist oder eine andere Bewertung vornehmen würde, war trotz mehrfacher Rückfragen nicht zu erfahren ... überhaupt ist die Reaktion hinsichtlich der Bestätigung dieses Fundes eher spärlich ausgefallen. Die neueste Entwicklung (abseits der bereits im Repository geschilderten Timeline) ist folgende:
-Ich habe am Mittwoch gegen Mittag (13 Uhr) von AVM eine E-Mail erhalten, daß nunmehr die nächste Release-Version für die 7490 erschienen ist. Das war mir zwar seit Montag bereits bekannt, aber AVM hatte damit die einzige Konzession, zu der sie sich bisher bereit erklärt haben, erfüllt - das war einmal eine E-Mail beim Erscheinen der ersten gefixten Labor-Version und nunmehr diese eine beim Erscheinen der Release-Version.
Darin enthalten war auch die folgende Bitte:
Auf die von mir um 17:14 Uhr desselben Tages gesendete Nachfrage, was man sich darunter genau vorstellen muß (welche Modelle überhaupt geplant sind und bis wann) bzw. wie die "Roadmap" an dieser Stelle aussehen würde (inkl. der Zusage, irgendwelche konkreten Termine für mich zu behalten, wenn die wirklich in so einer Roadmap stehen sollten und diese nicht auch nur "im Verlauf von Q2/2017" enthält), wurde bisher nicht beantwortet (waren aber auch erst zwei komplette Werktage seit meiner Antwort/Rückfrage).AVM Team Security schrieb:Wir möchten Sie nochmals darum bitten von einer Veröffentlichung Ihrerseits abzusehen, bis eine Lösung für alle Produkte vorhanden ist und eine hinreichende Menge das Update angenommen hat.
Ich hatte die Veröffentlichung ja bereits zuvor angekündigt (irgendwann Anfang Dez. 2016), weil sich AVM so gar nicht rührte und das dann nur auf der Basis einer Benachrichtigung vom 08.12. (als Reaktion auf eine weitere E-Mail von mir vom 30.11. mit einer diesbezüglichen Nachfrage), daß die Veröffentlichung der Release-Version im Dezember 2016 "unwahrscheinlich erscheint", noch einmal verschoben.
Es gibt jetzt in meinen Augen gute Gründe für eine Veröffentlichung und ebenso gute (aber weniger und vielleicht doch sogar nicht ganz so gute) Gründe für das Zurückhalten des genauen Aufbaus so eines Requests - das ist (abseits irgendwelcher "fertigen Dateien" zum Download) ja das Veröffentlichen des Exploits.
Für das Veröffentlichen spräche:
- es ist gängige Praxis, nach dem Überschreiten einer angemessenen Frist derartige Probleme zu veröffentlichen - unabhängig davon, was AVM sich selbst als "Firmenstrategie" an dieser Stelle auferlegt
- mangels genauerer Angaben seitens AVM bzgl. der behobenen Probleme ist eine derartige Demonstration ein recht starkes Argument, um auch "Update-Skeptiker" von der Notwendigkeit einer neuen Firmware-Version zu überzeugen ... es ist ja auch nicht die einzige gefixte Lücke; auch eine "command injection" über das NAS (bei bestimmten Konstellationen und dann auch für "gewöhnliche Benutzer" mit entsprechender "privilege escalation", bei 1&1-Kunden theoretisch sogar von extern auszunutzen, für die ich aber leider keine Einzelheiten veröffentlichen kann) ist behoben und noch ein paar weitere mit geringerer (was nicht zwangläufig als "geringer" zu lesen ist) Relevanz - das gilt allerdings auch wieder nicht für alle im Repository angeführten Lücken seit dem Sommer 2016 -> AVM entscheidet, ob gefixt werden muß und andere Stellen (wie der Media-Server) interessieren AVM gar nicht wirklich
- das Bekanntwerden könnte dazu führen, daß die Versionen für weitere Modelle schneller erscheinen ... bei der Planung von Updates verläßt sich ja AVM sehr offensichtlich auf die Verschwiegenheit der Finder (auch wenn man gar nicht wirklich mit ihnen zu kommunizieren bereit ist) und sieht gar keinen Bedarf für das Erscheinen von "ungeplanten" Updates, solange man nicht durch die äußeren Umstände dazu gezwungen ist - das macht dann im Endergebnis ein Update pro Jahr für die Modelle, die nicht "die Führung" in den Labor-Reihen haben und das wird vielleicht in absehbarer Zeit dann auch die 7490 treffen (wobei einer 7580 als neuem Flaggschiff halt der externe "klassische" Telefonanschluß fehlt, insofern ist die 7490 irgendwo auch "kompletter") - das führt dann im Umkehrschluß dazu, daß die anderen Geräte länger als erforderlich mit ungepatchten Risiken in freier Wildbahn zurechtkommen müssen und eher das Motto "wird schon kein anderer (erst recht kein "bad guy") bemerken" Anwendung findet - wie man das als Kunde dann sieht, muß jeder selbst für sich entscheiden und das führt dann unmittelbar zum nächsten Punkt
- AVM hat fast 7 Monate gebraucht, bis für das erste Modell eine Release-Version mit einem Fix erschien (die 7580 und 7560 gab es zum Zeitpunkt des Fundes noch nicht wirklich) und wenn alles "normal" läuft (sofern man aus vergangenen Erfahrungen extrapoliert), wird vielleicht irgendwann zur nächsten IFA dann der Update-Reigen auch das letzte noch mit Updates zu versorgende Modell erreicht haben, jedoch am 02.07.2017 hätte es dann bereits ein Jahr von der Meldung bis zum Fix (für "alle Modelle") gebraucht (das ließe sich eben vielleicht auch für das nächste Problem beschleunigen, wenn AVM irgendwann mal erkennt, daß ein Update pro Jahr zwar unter dem Gesichtspunkt neuer Funktionen ein netter Gedanke seitens des Herstellers ist, daß aber Sicherheitsprobleme ein derartiges "Aussitzen" eigentlich nicht vertragen
- eine andere Lücke mit "command injection", die auch nur von einem administrativen Benutzer ausgenutzt werden konnte, wo also die Veröffentlichung niemanden wirklich gefährdete und die ich mal als Versuchsballon direkt publik gemacht habe (ansonsten habe ich tatsächlich immer brav auf "responsible disclosure" gesetzt, egal wie die Reaktionen von AVM auch ausfielen), war innerhalb nur einer Woche in der Labor-Version für die 7490 bereits gefixt - eine derart schnelle Reaktion hatte ich von AVM bis zu diesem Zeitpunkt nur ein einziges Mal erlebt, wo tatsächlich bereits am nächsten Werktag die Bestätigung für den Fund einging und am darauffolgenden Tag schon das Angebot für eine gefixte Testversion kam
- solange seitens AVM immer nur allgemein und nebulös von der Behebung irgendwelcher Sicherheitsprobleme schwadroniert wird, kann man es auch einem Kunden kaum übelnehmen, wenn er - auch auf der Basis einiger hier im IPPF diskutierter Probleme mit dem DSL-Treiber oder dem WLAN oder irgendwelchen DNS-Fehlern bei ausgelastetem Upload (und was da noch alles an Problemen gemeldet wurde) - für sich entscheidet, er werde das Update wohl eher nicht machen, weil es gerade zu seiner Zufriedenheit läuft
- das läuft aber der von AVM gehegten Hoffnung, das Update würde "angenommen", mehr oder weniger direkt entgegen und die Frage, was eine "hinreichende Menge" sein mag, ist auch noch offen (selbst das Erscheinen einer gefixten Version führt ja nicht schlagartig zur allgemeinen Verwendung dieses Updates auf allen Geräten, solange AVM das nicht auch noch als "notwendig" kennzeichnet - dann erhalten nur die (NAND-)Geräte mit "einfach alles installieren, was da so kommt" das Update direkt und ich weiß gar nicht, was die Standardeinstellung bei Neueinrichtung an dieser Stelle ist) - geht man von anderen Anzeichen aus (z.B. vom Zeitpunkt des "Nachreichens" der gefixten Punkte zur 06.50 in der AVM-"Problem"-Seite (https://avm.de/service/sicherheitsinfos-zu-updates/ - auch das waren mehr, als da jeweils "veröffentlicht" wurden), ist das die zweite Stelle, wo es wohl mind. ein Jahr dauert, bis man bei AVM "zufrieden" ist mit der "Durchdringung" der Kundenboxen
- es gibt noch diverse andere Probleme, die AVM offensichtlich gar nicht als relevant ansieht - das (ebenfalls schon mangels AVM-Resonanz) irgendwo hier beschriebene Problem der "BPjM-Liste" gehört da ebenso dazu, wie die Möglichkeit, den Verkehr im LAN für bestimmte Clients über einen anderen Computer als die FRITZ!Box als "gateway" zu leiten, womit der Angreifer in die Position des MITM gelangt für jeglichen unverschlüsselten Verkehr ... irgendwann verliert man dann auch die Glaubwürdigkeit, wenn man Veröffentlichungen immer nur ankündigt und sie nie wirklich "durchzieht" - die bisher (immer mal wieder irgendwo eingestreuten) Beiträge zu bereits gemeldeten Problemen (z.B. auch zu diesem, auf dessen Behebung man nun wohl doch verzichtet hat bei AVM, trotz anderslautender E-Mail vom 24.06.2016 - sofern ich mich nicht "vertestet" habe, was aber eher unwahrscheinlich ist) waren eben noch unterhalb einer "Schmerzschwelle" und taten nicht wirklich weh - das wäre sicherlich mit einem "schlüsselfertigen Exploit" zum Kapern einer Admin-Verbindung (von bestimmten (W)LAN-Clients) zur FRITZ!Box deutlich etwas anderes (wenn dann der Filius auf diesem Weg die KiSi und/oder Limits überwindet) und dagegen nimmt sich so ein DoS-Exploit dann eher wie ein Kasperle-Theater aus, insofern ist der sogar besser geeignet - nur halt blöd, daß der auch wieder von extern funktioniert (ich kann mir aber keine passende Lücke backen und muß nehmen, was ich so finde)
Dagegen spricht:
- AVM hat um "Stillhalten" gebeten, wie wichtig man das nimmt (besonders im Lichte anderer Reaktionen), ist schwer zu beurteilen - außerdem bin ich an anderer Stelle gerade erst wieder um "die Früchte meiner Arbeit" gekommen (und sei es der "Ruhm" des Entdeckers, der eben oft genug der einzige "Lohn" ist), weil ich zulange stillgehalten habe und AVM mich sogar noch kurz vor dem Erscheinen eines Heise-Artikels "zurückgepfiffen" hat
- es bestünde die theoretische Chance, daß wirklich ein Konkurrent von AVM die Geräte "madig" machen will, indem er einen Angriff startet (oder über ein gemietetes Botnet starten läßt), bei dem dann FRITZ!Box-Besitzer in Mitleidenschaft gezogen werden, weil sie auf ihre FRITZ!Box nicht mehr zugreifen können
-Nun bin ich zwar auch kein allzu großer Freund einer "Schwarmintelligenz", aber hier im IPPF sind ja vermutlich dann doch die "interessierten" AVM-Benutzer zu finden, die dazu ihre eigene Meinung haben. Die kann mir zwar jeder hier in diesem Thread auch gerne in Worten mitteilen (auch wenn ich gleich darauf aufmerksam machen will, daß ich nicht auf langwierige Diskussionen eingehen werde (ist tatsächlich so) und irgendwelche Beschimpfungen einfach über die "Ignorieren"-Liste ausblenden lasse), aber - auch wenn ich es noch nie gemacht habe - das Forum hat ja eine Funktion für "Umfragen".
Ich würde also (mal schauen, wie das überhaupt funktioniert) einige "einfache" Antworten vorgeben und wer mit den verschiedenen "disclosure strategies" nichts anfangen kann, findet hier beim BSI einen Überblick:
Lebenszyklus einer Schwachstelle (BSI-A-CS 002) - 2012-03_Lebenszyklus_einer_Schwachstelle.pdf
und wer sich noch nie der Frage gestellt hat, was man als Hersteller in diesen Punkten eigentlich tun sollte, kann auch diese Datei einmal ansehen:
Handhabung von Schwachstellen - Empfehlungen für Hersteller - BSI-CS_019.pdf
Bleibt die Aufzählung der "Wahlmöglichkeiten" (bitte "aber jeder nur ein Kreuz", auch wenn das im Originalwerk ein anderes "Kreuz" war und bei der "Wahl" gibt es nur die Texte vor dem "Pfeil", der Rest ist nur "Begründung"):
- Sollte schon längst veröffentlicht sein -> "full disclosure" ist ohnehin das Einzige, was den Kunden wirklich schützen kann, weil nur so der Hersteller zu schnellen Reaktionen gezwungen wird und solche Sachen können eben auch jederzeit von jemandem gefunden werden, der sie dann auch ausnutzt (s. "webcm"-Lücke), was dann auch bei den Kunden entsprechenden Ärger/Aufwand nach sich zieht, den man mit sofortigem (oder zumindest zeitnahem) Update hätte vermeiden können.
- Zeit für die Veröffentlichung -> "responsible disclosure" ist bereits erfolgt, angesichts der vergangenen Zeit kann man das nun auch tatsächlich komplett veröffentlichen, zumal weitergehende Aktivitäten in Richtung "coordinated disclosure" seitens AVM nicht zu erwarten ist (geht beim Advisory des Herstellers schon los), denn (fast) alle Nachfragen (angefangen beim CVSS-Wert bis zur Planung oder belastbaren Zusagen über weitere Benachrichtigungen) verhallen ungehört (vielleicht auch ungelesen, das ist nicht zu beurteilen von außen)
- Nicht veröffentlichen -> einfach so lange warten, wie AVM das für richtig hält (die machen das dann schon selbst?) ... das ist dann irgendwas zwischen "coordinated" (lolwut) und "no disclosure", weil ich doch schon jenseits der 50 bin, aber das Problem ist schon so brisant, daß ein wirklicher Schaden für FRITZ!Box-Besitzer zu erwarten ist (auch wenn es "nur" eine nicht funktionierende Box ist, die neu gestartet werden muß), wenn sich irgendein "Spaßvogel" zur Verwendung der Lücke veranlaßt sieht und das hier Geschriebene sollte als "Warnung" bereits ausreichen, um Update-Muffel aus ihrer Wohlfühlzone zu holen (das ist ja schon deutlich mehr, als AVM "preisgibt")
Zuletzt bearbeitet: