Router hoch gefährdet...

GuruHacker

Mitglied
Mitglied seit
17 Apr 2007
Beiträge
779
Punkte für Reaktionen
0
Punkte
0
Zuletzt bearbeitet:
Das Thema Cross Site Request Forgery ist nicht neu, heise hat darüber schon letztes Jahr berichtet. Allerdings auch mit einem anschaulichen Beispiel für den W701V.
 
Hallo zusammen,

ich erinnere mich, daß im Frühjahr 2008 bei einigen Labor-FWs für die 7270 das Anmelden an der FritzBox ohne PW-Abfrage möglich war, obwohl die PW-Option aktiviert war.
Dies wurde auch an AVM gemeldet und von denen auch abgestellt. Der Bitte, eine "Logout-Button" auf der GUI einzubauen ist AVM bis heute nicht nachgekommen! Für mich um so unverständlicher, da daß beschriebene Sicherheitsproblem bei AVM bekannt ist!

Man kann also allen FB-Besitzern nur raten den o.g. Artikel aufmerksam durchzulesen und die im Fazit genannten Schutzmaßnahmen zu beherzigen.

Schönen Gruß aus Bayern
 
Hi,

Wenn ich den Artikel auf Tec Channel richtig deute, dann besteht die Gefahr doch nur, wenn man die Konfigurationsseite des Router öffnet, sich einloggt, und dann gleichzeitig eine zweite, manipulierte Seite aufruft.

Dabei stellen sich dann die Frage:

Besteht die Sicherheitslücke auch dann, wenn man die Configseite des Routers nicht in einem Tab des gleichen Browsers, sondern in eine zweiten, seperat gestarteten Browser öffnet ?

C.U. NanoBot
 
Hallo NanoBot,

wie oben schon geschrieben "aufmerksam lesen"!
Im Fazit steht:

"Unkritisch ist es in diesem Fall, mit einem anderen Browser weiterzuarbeiten. Mit IE, Firefox, Chrome und Safari hat man ja inzwischen genügend Auswahl."

Schönen Gruß aus Bayern

PS: Hallo Mods, ich finde dieses Sicherheitsproblem schon sehr wichtig. Man könnte es im Forum schon mal exponiert publizieren!
 
Wie weit ist man dann noch von dem Schritt entfernt, dass es solche Leute schaffen über das Webinterface des Routers Schädlingsprogramme auf den Rechner einzuschleusen??

AVM sollte nicht einfach nur mit einem Logout Button reagieren, sondern meiner Meinung nach mit einem eigenem Programm, dass dann nur Zugang zur FB hat. So umgeht man den Browser (welcher auch immer) komplett. Dieses Programm zwingt den User ein Passwort zu wählen mit mind. 8 Buchstaben.

Irgendwie vermisse ich die Win 95 Zeiten, wo man um sowas noch keine grossen Gedanken machen musste.

Heute ist man ja quasi gezwungen, Programme zu installieren wie Antivirus, Antimalware, eine Firewall oder Sicherheitssuiten.

Eine halbwegs anständige Sicherheitssuite von Kaspersky oder Norton kostet ca. 50 Euro. Man muss sich mal vorstellen, dass das Geld ledeglich dafür ausgibt, um sich NUR Idioten vom Hals zu halten die es darauf abgesehen haben den User zu schädigen bzw. um an deren Daten heranzukommen.

Was lernen wir daraus? Man muss sich im Internet immer vorsichtiger bewegen und sich genaustens durchlesen was man wo anklickt. Und selbst dann ist man nicht mehr zu 100 % sicher. Wer sagt uns denn, dass unsere Lieblingssites wie IP-Phone-Forum oder private Homepages nicht mittlerweile auch gehackt wurden und dort ein Schädlingscode hinterlegt wurde?
 
Wirklich interessantes bzw. hoch brisantes Thema. Dadurch, dass diese Schwachstelle publik gemacht wurde, werden nun wohl eine "Cracker"/Script-Kiddies versuchen diese Lücke auszunutzen.

Amüsant/Traurig finde ich aber diesen Abschnitt: "AVM hat die Gefahr einer modifizierten Firmware aber nach eigenen Angaben schon seit Langem gebannt. Die Downloads besitzen eine digitale Signatur, sodass eine Fremd-Firmware bei der Installation auffällt. Allerdings haben nicht alle Router-Hersteller ein derartiges Sicherheits-Feature implementiert. "

Darauf schmeiße ich mal "Freetz" und "echo clear_id 87 > /proc/tffs" in den Raum. Damit ist eine modifizierte Firmware auf der Fritz!Box und die Warnmeldung im Webinterface ist verschwunden. Es ist zwar schön, dass dem Benutzer auffällt das er eine Fremd-Firmware hochladen möchte. Jedoch wird außer Acht gelassen, dass sich ein "Cracker" an dieser Meldung nicht stören lässt.

Sicherheit ist für mich etwas anderes.
 
Irgendwie vermisse ich die Win 95 Zeiten, ...
Heute ist man ja quasi gezwungen, Programme zu installieren wie Antivirus, Antimalware, eine Firewall oder Sicherheitssuiten.

Du kannst auch heute noch ohne Antivirus, Antimalware, Firewall usw. auskommen. Einfach den Stecker zum Internet ziehen, und es kann nichts mehr passieren.
Und Viren gab es auch schon zu Zeiten von Win95.

Darauf schmeiße ich mal "Freetz" in den Raum....
Sicherheit ist für mich etwas anderes.

Dir wäre es also lieber, wenn AVM es unmöglich machen würde, eine modifizierte Firmware zu installieren, so wie es die Telekom versucht?
 
Zuletzt bearbeitet:
Ich kenne die FritzBox (auch wenn das Problem nicht auf AVM beschränkt ist) jetzt nicht persönlich, aber lässt sich die Konfiguration des Router nicht auf ein bestimmtes Netz beschränken und sogar von der WAN-Seite unterbinden?

Das sollte doch zumindest etwas mehr Sicherheit bieten, wie bisher...
 
Unmöglich wäre mir natürlich nicht recht, aber man könnte trotzdem ein bisschen mehr Sicherheit erreichen indem man nur noch signierte Firmware über das Webinterface flashen darf.
Jedoch sollte es dann eine Option geben, mit der man dieses "Sicherheitsfeature" ausschalten kann. Meine Überlegung wäre folgende:
Telnet ist standardmäßig deaktiviert und lässt sich nur durch ein lokal angeschlossenes Telefon aktivieren (wie es jetzt schon der Fall ist). Über Telnet sollte man dann eine Möglichkeit haben eine Konfigurationsdatei zu ändern, um auch nicht signierte Images flashen zu können. Diese Option sollte nur bis zum nächsten Reboot aktiv sein und danach wieder inaktiv.
 
Du kannst auch heute noch ohne Antivirus, Antimalware, Firewall usw. auskommen. Einfach den Stecker zum INternet ziehen, und es kann nichts mehr passieren.
Und Viren gab es auch schon zu Zeiten von Win95.


Stimmt, zu 95er Zeiten gan es schon Viren. Aber die "Stecker vom Internet abziehen lösung" finde ich eigentlich mehr als unsinn.

Schon mal was von Viren & Co auf Speichermedien gehört? Jeder PC ist gefährdet, egal ob mit oder ohne Internet. Meinermeinung ist zumindest ein AntiVirus pflicht, für jeden PC, egal mit oder ohne Internet.

Nur das problem ist zumindest im diesen Thread, wie kann AVM die Fritzen genügend absichern!

Passwort wird wohl in nächster Zeit nicht ausreichen. Logout-Button bringt etwas mehr sicherheit, aber ist auch nicht so dolle. Denn wie gesagt, mit dieser Methode soll es möglich sein, auch mit Pass schutz zugriff zu erlangen. Wo hilft da der liebe Log-Out? Und nicht jeder User ist so fleißig, und drückt jedesmal den Logout Button.

Da hört sich die Methode von Elsi29 zwar interessant, aber ich finde, die Browserlösung ist immernoch am besten.

Nett wäre es, wenn die Box merkt, das ein Zugriff auf das Interface startet, soll die Box doch das internet für die Log-in Zeit das I-net trennen. Ist Nur das Problem ist, was ist mit der Fernwartung? In meinen augen eine Sackgasse.

Und sonst, AVM sollte vorsorgen, und das Problem doch irgendwie vom Hals schaffen... wie viele Fritzen es schon in Deutschland gibt :rolleyes:

Ich denke, in Zukunft werden sich die Hacker immer mehr auf Router konzentrieren. Ein PC hat ja ne Firewall und Antivirus, und einen Mensch vorm Monitor, aber ein Router rennt einfach vor sich hin. Und wenn ein Router so gekappert werden kann, das mann Seiten umleiten kann, den Traffic mitlesen kann und so, dann finde ich, würde ich lieber in die Zeiten zurück gehen, wo es nur einfache DSL Modems gab, ohne Web-If, ohne nix. Nur DSL und Lan Anschluss. Mehr nicht. Paar LEDs. Verbindung wird dann über den PC aufgebaut. Da muss mann sich nicht sorgen, das ein einfaches Moden gekappert werden kann.

So ein Modem von Arcor haben ich noch ;)
 
lässt sich die Konfiguration des Router nicht auf ein bestimmtes Netz beschränken und sogar von der WAN-Seite unterbinden?
Du solltest mal den Artikel lesen. Der Angriff erfolgt vom PC des Anwenders, nicht von irgendwo aus dem WAN.


Mit dieser Methode soll es möglich sein, auch mit Pass schutz zugriff zu erlangen.
Allenfalls durch Raten des Paßworts. Dagegen braucht man dann ein sicheres Paßwort.

Nett wäre es, wenn die Box merkt, das ein Zugriff auf das Interface startet, soll die Box doch das internet für die Log-in Zeit das I-net trennen.
Das gibt eine Menge Ärger bei den Anwendern, und nützt noch nicht einmal wirklich etwas, wenn vorher schon alles, was gebraucht wird, auf den PC geladen wird.

dann würde ich lieber in die Zeiten zurück gehen, wo es nur einfache DSL Modems gab, ohne Web-If, ohne nix.

Du kannst auch eine FritzBox als DSL-Modem nutzen.

Und ein derartiger Angriff wird schon mal sehr erschwert, wenn man die IP-Adresse der Box ändert und den Namen "fritz.box" auch.
 
Hallo zusammen,

interessant wäre mal zu wissen, wieviele Fritzboxen (und sonstige Router) sich ohne PW-Schutz (sowohl für WLAN als auch GUI) in der freien Wildbahn tummeln.
Einschlägige Presseberichte, speziell zum WLAN, welches sich ja ohne großen Aufwand z.B. mit einem Tool wie dem Network Stumbler scannen läßt, beweisen ja wie sorglos teilweise mit Sicherheitseinstellungen umgegangen wird.

Wenn nur ein Teil dieser Geräte zu einem Bot-Netz zusammengeschaltet wird, kann man sich ja vorstellen, was damit angerichtet werde könnte.

@GuruHacker
In dem von Dir angestoßenem Thread:
http://www.ip-phone-forum.de/showthread.php?t=189070&highlight=Bot-Netz und dem dazugehörigen Link:
http://www.heise.de/newsticker/Bot-N...meldung/134992 wird ja beschrieben, daß dies schon Realität ist.

Schöne Grüße aus Bayern
 
Das ist doch eigentlich ein alter Hut. Mit dem IE können über solche TAGs auch prima Windows-Rechner ohne Nachfrage heruntergefahren werden.
 
interessant wäre mal zu wissen, wieviele Fritzboxen (und sonstige Router) sich ohne PW-Schutz (sowohl für WLAN als auch GUI) in der freien Wildbahn tummeln.
Was das GUI-Interface betrifft: Mit Bestimmtheit die Mehrheit... denn in den meisten Haushalten hängen nur private PCs der eigenen Familie am Router... und denen traut man nichts Böses zu... wenn überhaupt ein Paßwort vergeben wird, dann meist nur damit nicht eines der Kids versehentlich im Routermenu landet...
 
Das Interessanteste ist das, was nicht gesagt wird.
"Die Box läßt Anfragen, die erkennbar aus dem Internet kommen, nicht zu." (CSS-Anfragen kommen aber nicht aus dem Internet, sie kommen vom PC des Anwenders.)
"Noch höheren Schutz mit Kennwort." (Überhaupt erst ein Schutz mit Kennwort.)
"Die Box läßt eine Veränderung einer Namensauflösung gar nicht erst zu." (Ist inzwischen ein Fix für die Schäche des DNS-Protokolls eingebaut?)
 
Verstehe ich das Richtig, das hierfür die Namensauflösung der Box von "fritz.box" zur aktuellen IP genutzt wird? Würde es denn was bringen, die standardmäßige IP der Box (also 192.168.178.1) zu ändern, und dann "fritz.box" über die "host"-Datei auf die interne IP (127.0.0.1) umzuleiten?
 
Ein abwegiges Szenario?

prolog: Sorry @Clemens +doc456für meine Frage unter
http://www.ip-phone-forum.de/showthread.php?t=158398

Ich habe nur brav die Forumssuche "CSRF" bemüht?
prolog ende + damit die Suche funzt?

Ein übliches Szenario? Mehrere TABs/Fenster offen bei einer Google-Recherche ... mal kurz zur Toilette ... Anruf verpasst ... mal kurz in der FB nachgeschaut da das Schnurlose gerade 2 Stockwerke weiter und nur displaylose Phone z.H.? ... Fenster/Tab zugemacht und weiter bei Google?

So abwegiges Prozedere? Oder doch besser gemäß Otto-Diesel eine "5Minuten-FB-Gedenkpause" einlegen?

LG
 
Anstelle der 5 Gedenkminuten würde es ja auch ein anderer Browser nur für das Webinterface der Fritzbox tun.

Eine andere IP, die nicht mehr durch eine DNS-Anfrage mit fritz.box aufgelöst wird sollte auch einen Großteil der Angriffe durch Skripte ins Leere laufen lassen.

Konsequenter Einsatz eines zweiten Browser für Webinterface ist meines Erachtens aber die einfachste und sicherste Lösung.
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,172
Beiträge
2,247,422
Mitglieder
373,715
Neuestes Mitglied
wesleymoons87
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.