massive Schwachstelle der Fritzbox

[BrainyTheKing]

Hallo zusammen,

ich wollte mal über ein Schwachstelle der FritzBox berichten die mir gestern aufgefallen ist. Meiner Meinung nach ist Sie ein no-Go seitens AVM, da sie sich sehr leicht verhindern lässt.

Mit einem Freund habe ich ein Ping flood auf seine Fritzbox (7170) über das Internet durchgeführt. Das Ganze wurde nur mittels dem Windows Ping-Befehl gemacht. Die Paketgröße wurde auf 65000 Byte gesetzt.
Ein Befehl mit 2 Parametern in der Windows-Konsole!!
Ergebnis war nach ca. 2 Sekunden ein kompletter Restart seiner Fritzbox!
Umgekehrt löst es auf meiner Fritzbox (7270) einen komplette Disconnect der Internetverbindung aus.
Das Ganze wurde auf 2 weiteren 7170er getestet und bestätigt!

Nun frag ich mich ob es wirklich sein kann, dass ich mittels eines einfachen Windows-Befehls eine fremde Internetverbindung trennen kann bzw. seine Fritzbox rebooten kann.

Jeder einfache 20-Euro Router bietet das Feature "Ping von WAN ignorieren" oder eine Flood-Erkennung und die Fritzbox für fast 200¤ nicht???

Eine Nachfrage beim AVM-Support wurde mit einem einfachen Satz beantwortet:
"Die Entwicklung der 7170 ist abgeschlossen. Ihre Anfrage kann nicht mehr berücksichtigt werden!"

Wie ist eure Meinung dazu?


Grüße

Sebastian

 

[BrainyTheKing]

Nachtrag:

Gerade nochmal getestet.
Bei einem Kollegen reicht ein EINZIGER Ping Befehl mit 65000 Bytes für einen FB-Restart.

 

[akapuma]

Eine Nachfrage beim AVM-Support wurde mit einem einfachen Satz beantwortet:
"Die Entwicklung der 7170 ist abgeschlossen. Ihre Anfrage kann nicht mehr berücksichtigt werden!"

Das versteh' ich nicht. Die 7170 ist ein aktuelles, noch in Produktion befindliches Gerät, welches nicht EOS (end of service) ist.

Gruß

akapuma

 

[BrainyTheKing]

[Edit frank_m24: Vollzitat vom Beitrag direkt darüber gelöscht, siehe Forumregeln.]

Genau!
Um so unverständlicher die Reaktion des AVM-Supports.
Und es funktioniert auch bei meiner 7270!

 

[BrainyTheKing]

Support hin oder her.
Was sagt ihr denn zu der Tatsache, dass man mit einem einfachen Befehl eine fremde Internetverbindung trennen / FB restarten kann??
Die IP-Adresse kriegt man immer irgendwie (IRC, Teamspeak, ICQ, Foren etc.) raus.
Das ganze funktioniert nach bisherigen Tests mit einer hohen Erfolgsquote.
Es hängt sicherlich mit RAM-Belegung / CPU-Auslastung etc zusammen.

Mir ist zwar bewusst, das man ICMP-Anfragen per Config-Edit mit einer Firewall-Regel blocken kann. Jedoch ist so ein Workarround a:wenig sinnvoll und b: nicht für normale User zugänglich.

 

[pete-patata]

Das ping xxx.xxx.xxx.xx -l 65000 löst einen Neustart aus?

 

[BrainyTheKing]

Ich wollte es nicht so reinschreiben. Wenn es nicht beim ersten mal neustartet, dann mit -t laufen lassen.
Das Ganze funktioniert aber nur über den WAN Port, nicht im LAN.

 

[pete-patata]

Das einzige was bei mir an 7320er oder 7270er Boxen passiert, ist Zeitüberschreitung der Anforderung. Ein Ping ohne Größenangabe wird anschliessend beantwortet. Keine der Boxen legt einen Neustart hin, wie mir ein Blick in die Ereignisse zeigt.
Vielleicht mache ich etwas falsch?

 

[BrainyTheKing]

Wie gesagt. Wir sind noch nicht ganz dahinter gestiegen. Ping von einem fremden Internetanschluss mit einer Paketgröße von 65000 Bytes.
Das mit keine Antwort ist normal.

Was nicht funktioniert ist ein Ping an die eigene Public IP, da der Ping direkt von der FB beantwortet wird.

 

[informerex]

also die Aussage "Schwachstelle" ist ja ein bisschen reisserisch ;-)
dir steht es doch frei, AVM erneut bzgl. der 7270 anzuschreiben bzw. dein bestehendes Ticket entsprechend abzuändern.

Evtl. interessant wäre die verwendeten Firmware-Versionen der Boxen.

 

[BrainyTheKing]

[Edit frank_m24: Vollzitat vom Beitrag direkt darüber gelöscht, siehe Forumregeln.]
Jeweils die aktuelle Firmware. Keine Labor-Version.

 

[andilao]

Die 7170 Firmware-Version 29.04.80 betrifft das nicht und die 29.04.87 hat von mir keine Produktiv-Freigabe. Auch bei keiner anderen FB konnte ich das reproduzieren.
Könnte es sein, dass ein Teil der "Testumgebung" eine Vollauslastung per torrent war? Am besten, Du lieferst mal eine Beschreibung der kompletten Testbedingungen, also FW-Versionen, OS-Version, eingestellte MTU ...

 

[Cakebeisser]

Hallo,

ich bin der Besitzer der besagten Fritzbox

Firmware 29.04.87, Telnet aktiviert, Wlan aktiviert, dahinter hängt noch ein linksys zum wlan verteilen, sonst keinerlei Änderungen. Ftp-Zugriff für Usbstick aktiv. ISP Arcor/Vodafone. Gekauft 2008/09. Dahinter Win7 Prof. alle Updates.

Der Ping-Befehl war:
ping meinedyndns.dyndns.org -t -l 65000 (und das Ganze zig mal in einer Batch hintereinander)

Wir haben das Ganze jetzt mal mit einer andern Fb ausprobiert, gleiche Fw, auch auf die dyndns, allerdings sonst keine besonderen Settings, und schwupp: Absturz.

Bei der 7270 führte das Ganze nur dazu, dass die Internetverbindung gekappt wurde.

Edit: auf der Fb war zu dem Zeitpunkt keine Last, lediglich das Adminpanel war mit der Internetstatistik geöffnet um zu sehen ob der Traffic ankommt. Achja, Stromsparmodus ist auch an.

 

[Elsi29]

Bei der FB 7390 gehts nicht.

 

[syncron]

Yo,habs händisch und mit LOIC probiert,die 7390 hält sich wacker bei der angebene Paketgrösse,kein Restart oder sonstige Probs

 

[3949354]

Hallo,
@Elsi29
Kann ich hier bestätigen (nicht DynDNS, sondern Strato) FW: 84.05.07-20651. Keine Probleme.

 

[frank_m24]

Ich kann es ebenfalls auf keiner der 14 Boxen nachvollziehen, die ich in meinem Umfeld direkt erreichen kann. Da ist von 7050 - 7390 alles dabei.

Die großen Ping Pakete kommen überhaupt nicht an, wie ich mit tcpdump überwachen kann. Ich schiebe das auf die Fragmentierung, die bei ICMP Paketen unüblich ist. Deshalb vermute ich, dass sie von den Internetroutern verworfen werden. ICMP Pakete werden generell mit niedrigerer Priorität geroutet. Von daher ist der Test an sich schon sehr zweifelhaft, wenn in einem Großteil der Fälle die fraglichen Pakete überhaupt nicht übermittelt werden.
Zum Absturz konnte ich keine Fritzbox durch Pings bringen.
Des weiteren: Die Option "-t" bei Windows sorgt lediglich dafür, dass der Ping dauerhaft weiterläuft. Ein Flood Ping ist das keinesfalls.

In Anbetracht dieser Tatsache würde ich dafür plädieren, die Aufmachung des Threads weniger reißerisch auszugestalten. Von einer nachvollziehbaren Sicherheitslücke sind wir noch ein gutes Stück entfernt. Dafür muss erst mal eine wirklich reproduzierbare Testumgebung her, was "in der freien Wildbahn" Internet praktisch unmöglich ist. Man bräuchte ein Labor mit DSLAM Testaufbauten.

Solange wir das nicht haben, müsste aber zumindest der Aufbau in den hier diskutierten Fällen näher bekannt sein. Aber daraus reproduzierbare Verhältnisse abzuleiten, halte ich ebenfalls für praktisch ausgeschlossen.

Daneben: Auch in diesem Thread gelten die Forumregeln. Offtopic Beiträge habe ich entsorgt, Vollzitate bereinigt. Es trägt nicht unbedingt zur Seriosität einer solchen Meldung bei, wenn sie direkt von haufenweise Regelverstößen begleitet wird. Gerade in dem Umfeld sollte man doch wissen, wie wichtig das präzise Einhalten von Regeln und Syntax ist. Oder anders ausgedrückt: Wer schlampig an das Verfassen seiner Beiträge geht, wird auch sonst kaum sorgfältiger an seine Tätigkeiten herangehen. Das ist nicht unbedingt hilfreich in einem Fall wie diesem.

 

[scolopender]

Von einer nachvollziehbaren Sicherheitslücke sind wir noch ein gutes Stück entfernt.

Stimmt. Im Titel steht ja auch "Schwachstelle".

G., -#####o:

 

[George99]

ping IP_Adr -t -l 65000 auf meine 7170 mit neuester FW führt zu keinerlei Problemen. Ich kann sie währenddessen problemlos per VPN erreichen und durch die Menüs gehen.