TC4400 bei Vodafone/Unitymedia..... Der DOCSIS Wahnsinn?

[Flole]

Hallo an alle,

da es hier ja einige User gibt die sich intensiver mit den Docsis Konfigurationen beschäftigt haben, frage ich einfach mal hier nach nachdem im Unitymedia Forum so einige bereits verzweifelt sind und es auch im KDG Forum scheinbar niemanden gibt der wirklich weiß was da eigentlich passiert:

Einige betreiben bei Unitymedia das TC4400 und scheinbar gibt es Probleme das das Passwort über DOCSIS gesetzt wird. Das Standard Passwort aus der Anleitung funktioniert nicht mehr. Im KDG Forum haben wir festgestellt das scheinbar SNMP_MIB_Object: docsDevSwAdminStatus [0] = 2 gesetzt wird. Wird dadurch nicht das Upgrade der Firmware über das Webinterface verhindert (wenn man denn dann aufs Webinterface kommen würde)?

Hat irgendwer noch Ideen wie man nun rausfindet was das Passwort ist? Oder obs ne Möglichkeit gibt die Einstellung mit dem Firmware Update zu Übersteuern? Würde ein Reset das ganze zurücksetzen, sodass ich wenn ich das Modem dann vom Kabelnetz trenne ein Update machen kann bis es wieder provisioniert ist?

Danke an alle die Versuchen zu helfen!

 

[rv112]

Hallo. Das Passwort ist inzwischen bekannt. Bei bedarf bitte PN. Ein Firmwareupgrade ist nur durch den ISP möglich.

 

[Andreas1969]

Ein Firmwareupgrade ist nur durch den ISP möglich.

Zumindest habe ich bisher keine Hintertür gefunden.
Vielleicht kennt ja hier jemand einen Weg durch die Hintertür vom lokalen Netz aus?

 

[PeterPawn]

Ich kenne keinen ... habe auch das Gerät dazu nicht.

Wobei das eigentlich OpenSource-Komponenten enthält, die - sollte TC da Ergänzungen/Änderungen vorgenommen haben - von TC zu veröffentlichen sind.

Die Suche nach Lücken in der GUI-Implementierung bzw. nach einem Zugang zu einem event. vorhandenen CLI (bei Intel wäre zumindest klar, wie der Startprozess läuft und wo man da ggf. einsteigen könnte - u.a. in der sys_check.sh - nachzulesen z.B. in den Quellen zum Hitron 30360) ist ohne Gerät und ohne Firmware ist halt unmöglich. Gibt es denn bekannte Quellen für die Firmware? Wenn ich in #1 etwas von Update-Plänen über das GUI lese, dann braucht's die dazu ja vermutlich auch, oder?

Hat Broadcom vielleicht das SNMP-Interface auf der CMCI-Seite korrekt implementiert? Bei der FRITZ!Box finde ich das nicht mehr, egal wie ich mich anstrenge - es wird zwar auf dem ARM-Core alles schön eingerichtet, am Ende fehlt aber die "Netzwerkverbindung" zu den Switch-Ports und damit ist das Interface seit dem Umzug des "Kerns" vom FRITZ!OS auf den ATOM-Core nicht mehr erreichbar.

Das ist zwar m.E. auch ein Verstoß gegen die DOCSIS-Spezifikationen (https://community.cablelabs.com/wik...d?id=d69fbcc0-bb23-45b0-966d-146f3c3a66ec;1.1 - OSSI, Punkt 9.1 - SNMP auf dem CMCI-Interface, Absatz 3) - aber da steht schließlich auch nur drin, daß das CM es implementieren muß (was es eben macht) und nicht, daß man das dann auch noch irgendwie erreichen können muß.

Jedenfalls macht es ja auch nur bedingt Sinn, wenn man sich eine Möglichkeit für das Update des CM suchen will (soweit ich das oben jetzt verstanden habe, ist das der eigentliche Kern des "brauch' das Kennwort") und dann am Ende gar nichts hat, was man da als Update reinschreiben könnte. Hat man das aber zuvor schon, kann man darin auch auf die Suche nach möglichen Schwachstellen gehen.

 

[Andreas1969]

Ein aktuelles Update und das Passwort sind mittlerweile vorganden.
Auch die CVC'S sowie die Mib's sind vorhanden. Über ein CMTS könnte ich das Update durchführen. Mangels CMTS suche ich halt nach einer Hintertür.

 

[Andreas1969]

Hat man das aber zuvor schon, kann man darin auch auf die Suche nach möglichen Schwachstellen gehen.

Gibt es hier jemanden, der das tun könnte, wie gesagt, die aktuellste FW ist vorhanden.

 

[PeterPawn]

Du kannst mir die ja mal per E-Mail zukommen lassen ... Adressen stehen im PGP-Key im GitHub-Repository.

Eine erste Analyse, wie die Firmware aufgebaut ist und ausgepackt werden könnte, kannst Du vielleicht auch selbst mittels "binwalk" machen?

 

[Andreas1969]

Ausgepackt ist sie schon....

 

[stoney]

Du kannst mir die ja mal per E-Mail zukommen lassen ... Adressen stehen im PGP-Key im GitHub-Repository.

wurde auch schon erledigt ? oder weißt Du nicht wo dies zu finden ist? oder weißt nichts damit anzufangen? falls ja - melde Dich per PN

 

[Andreas1969]

Hier mal der aktuelle Stand:
Es scheint beim Modem doch eine Hintertür zu geben.
Und zwar versucht das Modem während der Bootphase per LAN über die 172.31.255.45 eine Verbindung zu einem TFTP Server mit der Adresse 172.31.255.40 aufzubauen.
Daher habe ich mal einen TFTP Server auf Adresse 172.31.255.40 aufgesetzt und die FW Datei, sowie ein entsprechendes configfile in´s Root Verszeichnis gelegt.
Allerdings klapppt das noch nicht richtig.
Im Log des TFTP Servers tauchen beim Verbindugsaufbauversuch folgende Meldungen auf:

Connection received from 172.31.255.45 on port 49153 [01/01 11:50:59.042]
Unexpected request 4 from peer [01/01 11:50:59.052]
Returning EBADOP to Peer [01/01 11:50:59.052]
Warning : received duplicated request from : [01/01 11:50:59.052]
Connection received from 172.31.255.45 on port 49153 [01/01 11:50:59.302]
Warning : received duplicated request from : [01/01 11:50:59.302]
Unexpected request 4 from peer [01/01 11:50:59.312]
Returning EBADOP to Peer [01/01 11:50:59.312]
Connection received from 172.31.255.45 on port 49153 [01/01 11:50:59.552]
Warning : received duplicated request from : [01/01 11:50:59.552]
Unexpected request 4 from peer [01/01 11:50:59.562]
Returning EBADOP to Peer [01/01 11:50:59.572]
Connection received from 172.31.255.45 on port 49153 [01/01 11:50:59.803]
Unexpected request 4 from peer [01/01 11:50:59.803]
Returning EBADOP to Peer [01/01 11:50:59.803]

//edit by stoney: [CODE] TAG [/CODE] gesetzt

 

[Flole]

Das sieht doch mal interessant aus. Hat irgendwer die Firmware mal zerlegt? Ist da was interessantes drin und kann man eventuell darüber darauf schließen wie man Updates einspielen kann?

 

[sparkie]

[Info] - das Ende der Zwangsfritten bei den KNBs

 

[Nobody1972]

Gibt es denn schon etwas neues? Hintertür gefunden?

 

[Andreas1969]

Nö, noch nicht

 

[Andreas1969]

Hat vielleicht noch irgend jemand hier ne Idee, wie sich das TC4400 hacken lässt, bzw. wie man auch ohne CMTS die neue FW auf´s Modem bekommt?
Irgendwo muss sich doch Technicolor eine Hintertür aufgelassen haben, die FW irgendwie über die LAN Ports auf´s Modem zu bringen.

 

[Nobody1972]

Bisher geht nix mit Update. Am besten die KNBs rollen die aktuelle FW per CMTS aus, aber wer glaubt schon an wunder...