[Info] [Update] Telefonie-Missbrauch (anscheinend doch) Massenhack von AVMs Fritzboxen

[Trachau]

Hallo alle zusammen, ich habe auch den Fernzugriff auf meiner FritzBox aktiviert und habe mal eine Frage zu der ganzen Hacksache.
Ich habe einen Telekom IP Anschluss und habe im Kundencenter alle Sonder- und Auslandsnummern gesperrt.
Ich nutze diese EMail Adresse nicht in der FB.
Ich nutze MyFritz gar nicht auch wenn ich mich mal registriert habe. Fernzugriff realisiere ich über No-ip. org
Calltrough ist auch deaktiviert.

Kann mir bei dieser Konstellation überhaupt was passieren?
Ich bin da momentan etwas unsicher.

 

[Novize]

...ich habe auch den Fernzugriff auf meiner FritzBox aktiviert...
...Fernzugriff realisiere ich über No-ip. org
Kann mir bei dieser Konstellation überhaupt was passieren?

Klar doch, denn es scheint was im Bereich der https-Geschichte der Fernkonfiguration zu sein. Solange Du diese aktiviert hast, kann auch der böse Bube von außen auf deiner Kiste Passwörter auslesen, einbrechen und IP-Telefone anlegen, um diese dann von außen zu nutzen.

Siehe auch >>hier<<

 

[johnripper]

Ich bin da momentan etwas unsicher.

Dann deaktiviere die Fernwartung.

Und im Übrigen:
Spiele das Update 6.03 ein und ändere die Passwörter, das sollte das Problem beheben.

In der Zeit in der du den Text getippt hast hättest du das schon erledigen können.

 

[Feuer-Fritz]

gleiche Konstellation ausser 1&1-VoIP statt T-Com, interessiert mich also auch....

 

[Sipforever]

Ich frage jetzt mal in die Runde, ob ein professioneller Firewall vor der Fritzbox geschaltet sein sollte?

 

[sf3978]

... Firewall vor der Fritzbox ...

Das geht aber nicht immer und auch nicht überall. Es gibt Internetprovider, bei denen muss die FritzBox "border device" sein.

 

[Hans Juergen]

heise: Wer eine vom Provider bereitgestellte Fritzbox verwendet, beispielsweise das Modell 6360 von Kabel Deutschland oder den Homeserver von 1&1, muss mit dem Reaktivieren des Fernzugangs warten, bis der Provider ein Update bereitstellt beziehungsweise von sich aus per TR-069-Fernkonfiguration einspielt.

Für die 1&1-Homeserver ist das aber Unsinn...

 

[informerex]

die Telefonie-Anbieter sollten Sicherheits-Alternativen einführen, dh. bspw. Budget für Telefoniekosten, Auslandssperrungen welche nur über PIN aktiviert werden usw.
... nur so kann man evtl. Lücken von SIP-Daten auf div. Endgeräten (Asterisk/Smartphone/F!B) vernünftig absichern

 

[Ohrenschmalz]

Das geht aber nicht immer und auch nicht überall. Es gibt Internetprovider, bei denen muss die FritzBox "border device" sein.

Deswegen habe ich ja in #71 schon nach ner Lösung mit einer professionellen Firewall gefragt, was einzelne hier allerdings als nicht zum Thema gehörig betrachten .oO
Interessehalber: Bei welchen Providern muß denn eine Fritz weswegen Border Router sein?

VG

 

[Novize]

@Hans:
Der Hinweis auf die 1&1-Boxen ist inzwischen verschwunden:

Hinweis auf Homeserver von 1&1 entfernt, weil sich bei diesem nach Leserhinweisen auch die Original-Firmware von AVM einspielen lässt.

 

[sf3978]

Interessehalber: Bei welchen Providern muß denn eine Fritz weswegen Border Router sein?

Bei den Providern bei denen auch der Modem-Teil der FritzBox benutzt wird. Z. B. bei KabelBW, wenn man kein KabelModem hat oder keinen Bridge-Anschluss hat, sondern "nur" eine FritzBox-cable als Kabel-Gateway (d. h. Modem+Router).

 

[Hans Juergen]

Der Hinweis auf die 1&1-Boxen ist inzwischen verschwunden:

In den Redaktionen muss im Moment wohl auch schneller getippt als gedacht werden :shock:

 

[edward]

AVM soll noch eine Liste der betroffenen Firmwares veröffentlichen.
Sind auch die älteren Firmwares < FritzOS 5 betroffen, wo noch die Authentifizierung über einen Broweserdialog erfolgte?...

 

[RollinCHK]

Hallo!

Ich hätte da ein paar Verständnisfragen:

- Wenn ichs richtig verstanden habe, ist der Port 443 betroffen. Würde ein Wechsel auf einen alternativen Port schon reichen?
- Weiß man, ob auch Leute betroffen sind, die MyFritz nicht verwendet haben / verwenden?

 

[csmulo]

7390 1+1 Update erfolgt, Keinen Einschränkungen.
Fehlen jetzt noch 7490 und 7360 bei mir.

 

[sf3978]

- Wenn ichs richtig verstanden habe, ist der Port 443 betroffen. Würde ein Wechsel auf einen alternativen Port schon reichen?

Nein, denn die alternativen HTTPS-Ports der FB sind von 450 bis 499. Wenn der Angreifer auf dem Port 443 keinen "Erfolg" hat, ist es für ihn kein Problem, den lauschenden Port zwischen 450 und 499 zu erscannen.

- Weiß man, ob auch Leute betroffen sind, die MyFritz nicht verwendet haben / verwenden?

Ja, es sind auch Leute betroffen die MyFritz nicht verwendet haben, aber den Fernzugang verwendet haben.

 

[mcm57]

Schließe mich da mit Fragen an:

Offensichtlich sieht es so aus als wäre der HTTPS (Port 443) Zugang irgendwie fehlerhaft und rückt bei geeigneter Vorgangsweise Daten raus. Anders ist es wohl nicht zu erklären, dass AVM gepatchte Firmware ausliefert. Diese würde ja bei extern ausgespähten Zugangsdaten (Mailaddresse + mehrfach verwendetes Passwort) nichts helfen.

Ergo:
Falls jemand genaueres erfährt bitte posten:
-) ist nur Port 443 / https betroffen?
-) ist ssl prinzipiell, also auch in Verbindung mit VPN betroffen ?
-) wurden Zugangsdaten auf diesem Weg ausgelesen oder ist es "nur" möglich am Port 443 einzuloggen ohne Daten zu kennen (z.B. durch einen Bufferoverrun Fehler)
-) spielt MyFritz überhaupt irgendwie mit ?

Hoffe AVM dokumentiert das Problem spätestens nach Verfügbarkeit der Fixes ein wenig detaillierter.

 

[rst-cologne]

Ja, es sind auch Fritten betroffen die noch nie MyFritz gesehen haben. Deswegen frage ich mich wie die Angreifer an die IP der Box gekommen sind. Einfach alle öffentliche IPs durchgescannt, auf port 443 nachgesehen ob es eine FritzBox ist?

 

[csmulo]

Hoffe AVM dokumentiert das Problem spätestens nach Verfügbarkeit der Fixes ein wenig detaillierter.

Darauf hoffen wir alle!

 

[RollinCHK]

Das vermute ich fast, wenn auch Boxen betroffen sind, die eben nicht mit Myfritz benutzt wurden. Das wird dann irgend ein Script regeln oder wie auch immer, deshalb ist meine Hoffnung, zumindest vorübergehend bis zum endgültigen Schließen der Lücke durch einen Portwechsel aus dem Raster zu fallen...