heise: Kein Anruf unter dieser Fritz!Box (Fritzbox u.a. Router angreifbar über Netz)

u.g

Aktives Mitglied
Mitglied seit
27 Mrz 2005
Beiträge
1,579
Punkte für Reaktionen
18
Punkte
38
heise berichtet grade, dass einige FW-Versionen für die Fritz-Boxen (und für andere Router) angeblich übers Netz angreifbar sind:

http://www.heise.de/newsticker/meldung/83995

Tschuldigung, falsches Unter-Forum, finde aber auf die Schnelle nicht, wie ich Beitrag löschen kann (oder geht das nicht mehr?) ...
 
Zuletzt bearbeitet:
Na toll, der Hack für den Speedport steht inclusive Passwort auch mit dabei.
Wenn das mal so richtig ist ...

jo
 
Zuletzt bearbeitet:
Hallo,

musste um wieder einwandfrei eingehende VoIP führen zu können auch meine frei gegebenen Ports löschen/deaktivieren und schon funktionierte es wieder. Ob dies jetzt unmittelbar mit der Problematik zu tun hat sei mal dahin gestellt, aber passt zu "Kein Anruf unter dieser Fritz!Box"

Ist schon ungewöhnlich!

Gruß jator
 
Aber schnellstens - wenn da demnächst eine Welle von Angriffspaketen durchs Netz fliegt, dann sind ein Großteil der User ohne Telefon und die AVM Supportlines werden überlastet.
Ich habe damit 2 bekannte Boxen erfolgreich "abschalten" können und das gefällt mir gar nicht...

Ausserdem werde ich, wenn AVM nicht innerhalb einer Woche einen Patch liefert, die Fritzbox verkaufen und einen anderen Hersteller nehmen.
Das ist ein sehr kritisches Problem, das bei AVM mit höchster Priorität behandelt werden soll.
 
Das muss man relativieren... Abstürze bei Paketlänge 0 ist sicher ein Bug, aber man kann praktisch alle SOHO-Geräte mit offenen Ports in Richtung Internet durch DoS-Angriffe lahmlegen oder zum Absturz bringen... der Nutzen für einen Angreifer ist hier auch relativ gering... ebenso ist die Massnahme zum Neustart der Box auch recht einfach.

Kritischer sind da eher solche Fälle wie in der Heise-Meldung genannt, bei denen Router-Passworte ausgehebelt werden können und Konfigurationsänderungen mögich werden.

--gandalf.
 
Die Bx ist dazu da Telefon zu machen. Ich weiß aber nie, ab sie gerade Telefon macht oder nicht, da sie jederzeit einfach von aussen abgeschaltet werden kann und ich kann nix dagegen tun...
Da muss man nicht relativieren - das muss man reparieren!

Würdest Du ein Auto kaufen, dass man per überall erhältlicher IR Fernbedienung abschalten kann?

Und es ist ein ARMUTSZEUGNISS, dass AVM schon vor über 6 Monaten davon wusste und nix gemacht hat
 
Ich stimme Dir zu, daß ein Bug, der zum Absturz des voipd per Paketlänge 0 oder falschen Paketen führt, korrigiert werden muss. AVM muss da schnell reagieren.

Ich betone jedoch weiter, daß das nicht des Problems Lösung ist, da man durch einfachste DoS-Angriffe FBF (und eine Reihe weiterer Geräte mit offenen Ports zum Internet) lahmlegen kann, wenn diese kein IDS haben.

--gandalf.
 
Ich habe ein Workaround, wenn die Fritzbox hinter einer Linuxfirewall hängen sollte.

Man füge

$IPTABLES -A FORWARD -m unclean -j DROP
$IPTABLES -A INPUT -m unclean -j DROP

ein.

Damit werden alle kaputten und 0 Packete gedropt. Funktioniert aber nur dann, wenn die FBF als ATA arbeitet. D.h. nicht selbst die Internetverbindung aufbaut.

Bye Michael
 
Ich konnte den Fehler auf einer 7170 und einer 5050 nicht nachvollziehen. Kann den Fehler jemand, der eine 7050 hat bestätigen ... bzw. eben jemand der die 7170 mit der neuesten Firmware hat ? Und mal genau beschreiben, was dann passiert ? Stürzt der voipd ab (verschwindet aus der Prozess-Liste) ?

Anscheinend sollen ja alle Firmwares betroffen sein.
 
Zuletzt bearbeitet:
Ich befürchte meine FB7050 wurde schon zum Opfer. Als ich mich gerade eingeloggt habe flogen mit die Fehlermeldungen, dass die FB sich nicht zum SIP-Provider verbinden kann, nur so um die Ohren. Ein Neustart der FB half.

Ich hab leider keine Ahnung, wie sich ein so ein 0-Byte-Paket erzeugen lässt, kann also den Absturz nicht reproduzieren. Wenn mir jemand - am besten per PM! - auf die Sprünge helfen könnte wäre das Klasse (Ob Linux oder Windows is egal). Ansonsten werde ich morgen mal Google bemühen.

Jetzt hab ich mir ein kleines Skript gebastelt, dass per Cronjob alle 5 Minuten aufgerufen wird. Ich hoffe aber, ich kann es bald durch eine saubere Firmware von AVM ersetzen!

@DPR:
Der Prozess von voipd lief weiter, konnte sich aber nicht mehr beim SIP-Provider einloggen. Allerdings fehlt in der Auflistung von netstat der 5060 bei den UDP-Ports. Ob das jetzt aber definitiv ein solches 0-Byte-Paket war, kann ich (noch) nicht sagen.

Gruß,
Robert
 
mrjingle schrieb:
@DPR:
Der Prozess von voipd lief weiter, konnte sich aber nicht mehr beim SIP-Provider einloggen. Allerdings fehlt in der Auflistung von netstat der 5060 bei den UDP-Ports. Ob das jetzt aber definitiv ein solches 0-Byte-Paket war, kann ich (noch) nicht sagen.
Sehr interessant.
Bin mir nicht sicher, ob ich hier in diesem Forum auf die entsprechenden Tools hinweisen sollte. Habe mir einfach einen 10-Zeiler geschrieben, mit dem das geht. Ansonsten ist "hping" ein Tool, das jeder Pro bereits kennen dürfte - und nein ... ich erkläre nicht, wie man das kompiliert oder einsetzt.

Wie gesagt: die 7170 und die 5050 mit den jeweils neuesten verfügbaren Firmwares scheinen nicht angreifbar zu sein. Die 7050 werde ich noch testen.

Nachtrag: Habe soeben die 7050 getestet und tatsächlich lässt sich damit die komplette VOIP Funktionalität "ausschalten". Es gingen weder eingehende noch ausgehende Gespräche per VOIP. Sehr unangenehm für einen Angriff, den jedes Script-Kiddie problemlos auf komplette Sub-Netze innerhalb von Minuten ausführen kann.
 
Zuletzt bearbeitet:
Nunja, UDP beherrschende Portscanner sind kein großes Geheimnis. Alternativ tut's auch ein 10-Zeiler in Perl ...
 
Sicherheit, Bericht auf Heise: FBF abschiessen, kann man sich schützen?

Hallo

Auf heise wurde berichtet, dass die VoIP-Anwendung der Fritzbox 7050 und anderer Fritzboxen (welcher?) per Netzangriff zum Absturz gebracht werden kann. Kann man sich davor irgendwie schützen (in den Einstellungen etwas deaktivieren?) und ist die 7170 auch betroffen?

Der Artikel bei heise:

http://www.heise.de/newsticker/meldung/83995
 
hansmusterli schrieb:
Hallo

Auf heise wurde berichtet, dass die VoIP-Anwendung der Fritzbox 7050 und anderer Fritzboxen (welcher?) per Netzangriff zum Absturz gebracht werden kann. Kann man sich davor irgendwie schützen (in den Einstellungen etwas deaktivieren?) und ist die 7170 auch betroffen?
Die 7050 lässt sich einfach nicht dagegen schützen, wenn sie direkt am Netz hängt.
Nebenbei hab ich auch schon diverse Scripts gesehen, die eine bestimmte IP-Range komplett durchgehen. Ich will gar nicht wissen, wie viele davon schon laufen...

Ich finde es eine bodenlose FRECHHEIT von AVM, dass sie in den 6 Monaten NIX unternommen haben... Irgendwelche pseudo-Stromsparfeatures hochpreisen aber sowas nicht ernst zu nehmen...
 
Es sind AFAIK alle VoIP-fähigen Fritz!Boxen betroffen. Meine 7170er konnte ich abschießen. Einen für mich funktionierenden Workaround habe ich hier gepostet:

http://www.ip-phone-forum.de/showthread.php?t=126394

Erforderlich ist ds-mod mit iptables-Support und installierem iptables-length-Modul (Shared Library und Kernel-Modul). Mit der Original-Firmware gibt es wohl keine Lösung, außer die Box hinter einen anderen Router bzw. Switch zu hängen und dort bereits vorzufiltern.
 
Ich kriegs nicht wirklich hin meine FB abzuschießen :noidea:
Vermutlich sitzt das Problem irgendwo zwischen Tastatur und Bildschirm..

*kaboom*

Kann mir denn jemand bestätigen, dass der Port 5060 in der netstat-Ausgabe verschwindet, wenn die FB abgeschossen wurde?
Oder woran kann an es sonst erkennen, außer man hebt den Hörer ab und probiert es aus?

Inzwischen weiß ich:

- Meine FB stürzt auch ab (ich hätte nicht gedacht, dass ich mich darüber mal freuen würde)
- Sobald man aber versucht zu telefonieren kommt, wie aldee gleich sagt, das Besetztzeichen.
- Das Zusammenbrechen der UDP-Verbindung am Port 5060 ist eine Reaktion auf den Versuch zu telefonieren, nicht auf das DoS-Paket
- Ein Anrufer via VoIP bekommt ein normales Klingelzeichen.

Ich hoffe bei AVM kriegt es gebacken bald eine neue Firmware rauszubringen.
 
Zuletzt bearbeitet:
Ich habe es mit Hörer abheben und Ausprobieren getestet. Ein Freizeichen kommt noch, aber nach Wahl einer Nummer gibt's grundsätzlich ein Besetztzeichen. Im Log der Box findet sich dann die wenig aussagende "Ursache: 408" ohne nähere Hinweise. Der Festnetz-Fallback greift nicht, eingehende VoIP-Anrufe dürften vermutlich auch nicht mehr durchkommen. Ob der VoIP-Daemon prinzipiell noch läuft, habe ich nicht nachgeschaut, und da ich meine Box mittlerweile gepatcht habe, kann ich es auch nicht mehr nachholen ;-).
 
Ich habe dieses Thema mal vorübergehend als "Wichtig" markiert, da es sonst noch ein paar Hundert Postings zum Thema "Hab ich gerade bei Heise entdeckt" gibt ;-)

--gandalf.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.