Auch von mir ein Danke an Mordrag 
.
Schade ist natürlich, daß laut der Heise-Meldung Besitzer einer Kabelprovider-Box ne Weile mit deaktivierter Fernwartung leben müssen - soweit ich weiß gibt's für die 6360-Besitzer keine Möglichkeit, selber upzudaten
. Aber wir sind ja hier bei der 7390.
BTT:
@ Al Bundy:
Eventuell mußt Du die Fernzugänge komplett neu einrichten; möglicherweise wird beim Update die Konfiguration der Zugänge beschädigt.
---
Ich hab wegen Konfiguration eines neuen Repeaters die Box neugestartet. Immer noch "Vorherige DSL-Version" aktiv, allerdings nochmal 100 kBit/sec besserer Downstream. Das verstehe wer will ... anscheinend muß man beim DSL-(Re)Sync Glück haben und grade eine störungsfreie Leitung haben für ne hohe Sync-Rate.
.Schade ist natürlich, daß laut der Heise-Meldung Besitzer einer Kabelprovider-Box ne Weile mit deaktivierter Fernwartung leben müssen - soweit ich weiß gibt's für die 6360-Besitzer keine Möglichkeit, selber upzudaten
BTT:
@ Al Bundy:
Eventuell mußt Du die Fernzugänge komplett neu einrichten; möglicherweise wird beim Update die Konfiguration der Zugänge beschädigt.
---
Ich hab wegen Konfiguration eines neuen Repeaters die Box neugestartet. Immer noch "Vorherige DSL-Version" aktiv, allerdings nochmal 100 kBit/sec besserer Downstream. Das verstehe wer will ... anscheinend muß man beim DSL-(Re)Sync Glück haben und grade eine störungsfreie Leitung haben für ne hohe Sync-Rate.
Zuletzt bearbeitet:
meierchen006
Aktives Mitglied
- Mitglied seit
- 7 Jun 2007
- Beiträge
- 1,028
- Punkte für Reaktionen
- 43
- Punkte
- 48
Nein, ist DECT 4.38. Es wurde ausschliesslich die Sicherheitslücke gestopft. Daher kann es auch keine Sync-Unterschiede etc. geben auf Grund des Updates.
Ich kann nur jedem raten, auch den eher ängstlichen, das Sicherheits-Update durchzuführen. Denn es sind alle vorherigen Firmware-Versionen betroffen!
Natürlich am Wochenende kommen für alle FB neue Software, wegen den Hack. Die für die 7390 ist schon da.
Habe meine 7390 nun erst mal zurück auf FRITZ!OS 06.01 (84.06.01) geflasht, Einstellungs-Sicherung vom 07.01.2014 zurückgespielt und Fernwartung ging erst mal nicht.
Dank deines Tipps neu einrichten, geht er erst mal wieder.
Probiere es später noch mal mit der FRITZ!OS 06.03 (84.06.03) und Neueinrichtung der Fernwartung.
Auf jeden Fall erst mal ein dickes Danke an H'Sishi
Keine Ursache .
Die spannende Frage bezüglich der Sicherheitslücke ist nun: Kann man nach dem Fix die Fernwartung wieder (bedenkenlos?) einschalten? Ich würde mir schon gern die Option offenhalten, von unterwegs Einstellungen vornehmen oder meinen PC ferneinschalten zu können.
.Die spannende Frage bezüglich der Sicherheitslücke ist nun: Kann man nach dem Fix die Fernwartung wieder (bedenkenlos?) einschalten? Ich würde mir schon gern die Option offenhalten, von unterwegs Einstellungen vornehmen oder meinen PC ferneinschalten zu können.
Ich habe einen Sys-Admin aus Leipzig an der Hand, der wies mich erst mal auf das Sicherheitsleck hin und sagt, dass auf jeden Fall ein vom Standard abweichender Port (in diesem Fall 443) für die Fernwartung verwendet werden sollte. Am besten einer über 10000 . Eben weil die Standard-Ports immer "beschnüffelt" werden.Keine Ursache
Die spannende Frage bezüglich der Sicherheitslücke ist nun: Kann man nach dem Fix die Fernwartung wieder (bedenkenlos?) einschalten? Ich würde mir schon gern die Option offenhalten, von unterwegs Einstellungen vornehmen oder meinen PC ferneinschalten zu können.
Das habe ich nun gemacht.
Der Trick/Tipp mit neu einrichten hat nun auch unter FRITZ!OS 06.03 (84.06.03) wieder geholfen.
Dickes Dankeschön.
Ich hoffe nun kann ich wieder ruhig schlafen.
sf3978
IPPF-Promi
- Mitglied seit
- 2 Dez 2007
- Beiträge
- 8,014
- Punkte für Reaktionen
- 28
- Punkte
- 48
Das war aber nicht möglich. man konnte nur die Ports 443 und 450 bis 499 für https mit der Box, verwenden.
Haben die Angreifer nur Port 443 anvisiert? Nervt mich schon (tierisch) das ich wegen der Sicherheitslücke nun alle Kennwörter ändern muss. Ich hoffe AVM legt hier im späteren Verlauf alles offen, wobei ich das (leider) bezweifle.
Da kann man wirklich nur hoffen das es bald einmal all-in-one Konkurrenz geben wird, aber AVM ist da ja Monopolist und fällt bezüglich Qualität immer weiter ab. Der RC4 Zwang geht mir auch tierisch auf die Nüsse, von einigen anderen Dingen mal abgesehen.
Gibt es eine Möglichkeit Fremzugriffe in irgendwelchen Logs nachzuschauen? Die Logpolitik von AVM nervt mich auch, fällt mir da ein ... Zugriffe über OneClick werden nicht gelistet und so weiter. Wieso gibt es keinen "Expertenlog"?
@sf3978:
Ich weiß nicht wie es mit der letzten final war, in den Labors konnte man den vollen Portbereich (1 bis 65535) nutzen.
EDIT:
Viel mir gerade durch Zufall auf. Wieso sind in der export File eigentlich am Start Password1 und Password2? Früher war das doch nur eines, welches die Konfiguration schützte? Oder irre ich mich jetzt?
Betroffene sollten vielleicht auch daran denken, die Zugangsdaten für webdav Laufwerke zu ändern. Darüber könn(t)en ja auch Mailaccounts kompromitiert werden. Wenn die Angreifer die Zugangsdaten der Box auslesen konnten, sollten diese ja auch betroffen sein. Ich frage mich eh wie sie an die Passwörter im Klartext kamen. Jemand eine Idee?
Da kann man wirklich nur hoffen das es bald einmal all-in-one Konkurrenz geben wird, aber AVM ist da ja Monopolist und fällt bezüglich Qualität immer weiter ab. Der RC4 Zwang geht mir auch tierisch auf die Nüsse, von einigen anderen Dingen mal abgesehen.
Gibt es eine Möglichkeit Fremzugriffe in irgendwelchen Logs nachzuschauen? Die Logpolitik von AVM nervt mich auch, fällt mir da ein ... Zugriffe über OneClick werden nicht gelistet und so weiter. Wieso gibt es keinen "Expertenlog"?
@sf3978:
Ich weiß nicht wie es mit der letzten final war, in den Labors konnte man den vollen Portbereich (1 bis 65535) nutzen.
EDIT:
Viel mir gerade durch Zufall auf. Wieso sind in der export File eigentlich am Start Password1 und Password2? Früher war das doch nur eines, welches die Konfiguration schützte? Oder irre ich mich jetzt?
Betroffene sollten vielleicht auch daran denken, die Zugangsdaten für webdav Laufwerke zu ändern. Darüber könn(t)en ja auch Mailaccounts kompromitiert werden. Wenn die Angreifer die Zugangsdaten der Box auslesen konnten, sollten diese ja auch betroffen sein. Ich frage mich eh wie sie an die Passwörter im Klartext kamen. Jemand eine Idee?
Zuletzt bearbeitet:
Anscheinend ja, der Aufwand für einen Portscan aller möglichen Port wäre ja auch viel höher und bringt nur geringen Mehrwert für Kriminelle - mit dem Standardport erwischen sie genug.
Viel mir gerade durch Zufall auf. Wieso sind in der export File eigentlich am Start Password1 und Password2? Früher war das doch nur eines, welches die Konfiguration schützte? Oder irre ich mich jetzt?
Ja, das ist z.B. eines der Dinge, die mich interessieren würde. Ab irgendeiner Version wurde die Benutzerverwaltung mal umgestellt. Davor (z.B. mit der 84.05.22) gab es ein Fritzbox-Passwort PLUS einen Fernzugriffs-User/Passwort. Gab man letzteren korrekt ein (per HTTP-Auth, nicht in einer HTML-Form), landete man auf der Seite mit der Abfrage des Fritzbox-Kennworts (das anders sein kann).
Spätestens ab 84.05.5x war das schon so, dass den Benutzern Rechte zugeordnet wurden und wenn der Benutzer das Recht zur Konfiguration hat, kommt er nach Eingabe von User/Passwort (in einer HTML-Form) direkt zur Konfiguration.
Das lässt mich annehmen, dass bei dieser Umstellung das Problem entstanden ist, bzw. dass eventuell die Vorversionen nicht anfällig für die Attacke sind/waren.
Diese Frage wäre interessant zu klären, weil z.B. ich dann die Chance hätte, die Fernkonfiguration zu nutzen, ohne die "Featuritis" der aktuellen 06er-Versionen inklusive der Instabilität (häufige Reboots), Funktionsdefekte (IPv6, WLAN-Speed) in Kauf nehmen zu müssen, indem ich die "sichere" 84.06.03 installiere.
Das könnte man z.B. klären, indem man die alte Version mit dem Exploit testet - aber, wie Du schon schriebst, Infos dieser Art (also: welche Versionen sind tatsächlich betroffen) werden von AVM wohl nicht kommen, schon gar nicht zeitnah.
In einem gewissen Sinn ist das O.K., weil sonst noch mehr Missbrauch getrieben werden könnte, bis alle Boxen dicht sind. Trotzdem: Die ganze Art, wie das Thema kommunikationstechnisch gehandhabt wurde, ist unterirdisch:
Erst mit dem Finger auf die BSI-Liste zeigen, keine Fehler zugeben, aber dazu raten, den Fernzugang abzuschalten.
Dann bei den Providern mit nichtöffentlichen Infos darum zu betteln, die Lücken anderweitig zu schließen und dann eine Pressemeldung "wir haben's gefunden" und - zeitgleich - den ersten Fix per Firmware herauszubringen.
Da darf man sich schon fragen, ab wann AVM bekannt war, dass es ein selbst verursachtes Sicherheitsloch war - denn auf Deine Frage:
IMHO: Für den Exploit braucht niemand die Passwörter. Nur das erklärt vollkommen, wieso es bei Betroffenen nie Fehlversuche beim "Login" gab, die im Log verzeichnet wurden. Woher hätte denn die Zuordnung Username/Passwort zur IP der Box kommen auch sollen, wenn, wie AVM behauptet, MyFritz bei vielen Betroffenen nicht aktiv war?
Selbst wenn ich tausende Accounts inkl. Passwort kenne, fehlt mir der Bezug zur Adresse der Box, also müsste ich immer noch probieren. Und m.E. ist es genau diese Lücke, nämlich Zugriff ganz ohne Passwort, die jetzt gefixt wurde.
Zuletzt bearbeitet:
Muss gestehen, ich verstehe nicht wirklich was dein Post mit meiner Frage zu den export Daten und dem dort vermerkten Passwort und Passwort2 zu tun hat. :-/
Das der Bug vielleicht mit der Umstellung kam, steht ja auf einem anderen Blatt. Mich würde allein schon interessieren, wieso da 2 Passwörter am Anfang stehen, also wozu die sind. Vielleicht weiß es hier ja jemand.
Soweit ich das mitbekommen habe, war einfach der erste Login sofort "korrekt". Also wurde irgendwie im Vorfeld die Benutzerkonfiguration ink. Passwörter ausgelesen (exploit) und da diese nicht im Klartext in der ar7 liegen, ist die Frage, wie das möglich war. Sind die PWs nicht gehasht + salt?
Wäre der Zugriff und die Einrichtung der IP Telefone über den Exploit erfolgt, wäre ja gar kein Login im Log aufgetaucht.
Anders formuliert: Über den Exploit kamen sie an User/PW und loggten sich dann ein.
Das der Bug vielleicht mit der Umstellung kam, steht ja auf einem anderen Blatt. Mich würde allein schon interessieren, wieso da 2 Passwörter am Anfang stehen, also wozu die sind. Vielleicht weiß es hier ja jemand.
Der Rückschluss ist nicht korrekt, auch gehst du das glaube ich falsch an.
Soweit ich das mitbekommen habe, war einfach der erste Login sofort "korrekt". Also wurde irgendwie im Vorfeld die Benutzerkonfiguration ink. Passwörter ausgelesen (exploit) und da diese nicht im Klartext in der ar7 liegen, ist die Frage, wie das möglich war. Sind die PWs nicht gehasht + salt?
Wäre der Zugriff und die Einrichtung der IP Telefone über den Exploit erfolgt, wäre ja gar kein Login im Log aufgetaucht.
Anders formuliert: Über den Exploit kamen sie an User/PW und loggten sich dann ein.
Zuletzt bearbeitet:
Wärst du so nett, darauf auch noch länger und nicht so knapp einzugehen? :-D Wäre über Aufklärung wie/was AVM da in der ar7.cfg nun hinterlegt wirklich dankbar. Ich sah halt nur immer Kauderwelsch, dachte aber nicht, dass man den einfach so in Klartext umformen kann.
Scheinbar ja noch?
EDIT:
Vergiss es, habs schon gefunden. Zugriff ist eben Zugriff...
Kann man allcfgconv auch "extern" (oder einer anderen Box) nutzen oder muss man es zwingend auf der jeweiligen Box ausführen, wo das PW "verschlüsselt" wurde? Gibt es wenigstens eine Art "Gerätebindung"?
Scheinbar ja noch?
EDIT:
Vergiss es, habs schon gefunden. Zugriff ist eben Zugriff...
Kann man allcfgconv auch "extern" (oder einer anderen Box) nutzen oder muss man es zwingend auf der jeweiligen Box ausführen, wo das PW "verschlüsselt" wurde? Gibt es wenigstens eine Art "Gerätebindung"?
Zuletzt bearbeitet:
Such mal nach "ar7.cfg auslesen".
Lässt sich einfach per Befehl - allcfgconv - im Klartext auslesen. Das ist beispielsweise beim ruKernelTool als komfortables Klicki-Bunti-Feature implementiert.
Keine Ahnung ob jemand auch weiß wie das mit der Umwandlung von Kauderwelsch zu Klartext und umgekehrt im Detail funktioniert.
Lässt sich einfach per Befehl - allcfgconv - im Klartext auslesen. Das ist beispielsweise beim ruKernelTool als komfortables Klicki-Bunti-Feature implementiert.
Keine Ahnung ob jemand auch weiß wie das mit der Umwandlung von Kauderwelsch zu Klartext und umgekehrt im Detail funktioniert.
Zuletzt bearbeitet von einem Moderator:
Neueste Beiträge
-
[Sammlung] FRITZ!Smart Thermo 302 - Firmware 0.22 - 5.xx- Letzte: Jstessi
-
[Frage] Deutsche Giganetz und 5590 Fiber- Letzte: nschill
-
[Frage] Layer 2 Traffic übers VPN leiten?- Letzte: PeterPawn
-
[Frage] Voicemail Signalisierung an T46G
- Letzte: nullehoppe
-
[Sammlung] FRITZ!Smart Gateway - Labor/Inhaus 7.90 (Zyklus 'Smart24P1')- Letzte: Ralf-Fritz
