[Info] [Update] Telefonie-Missbrauch (anscheinend doch) Massenhack von AVMs Fritzboxen

[qwertz.asdfgh]

... ob ein professioneller Firewall vor der Fritzbox geschaltet sein sollte?

Schalte die Fernkonfiguration ab, das reicht. Wenn du eine Firewall davor schaltest und den Fernwartungsport zur FB weiterleitest hast du auch nichts gewonnen...

... was einzelne hier allerdings als nicht zum Thema gehörig betrachten .oO

Ist es auch nicht da diese Firewall unnötig scheint (s.o.).

Interessehalber: Bei welchen Providern muß denn eine Fritz weswegen Border Router sein?

Auch EWE sei als Beispiel genannt.

- Wenn ichs richtig verstanden habe, ist der Port 443 betroffen. Würde ein Wechsel auf einen alternativen Port schon reichen?

Scheinbar nicht wirklich, hilft wohl nur bei der ersten "Angriffswelle".

- Weiß man, ob auch Leute betroffen sind, die MyFritz nicht verwendet haben / verwenden?

Wenn ich das richtig interpretiere JA! MyFritz scheint nicht die Ursache zu sein.

 

[csmulo]

Ich befürchte die Lücke gelinde gesagt an ganz anderer Stelle!
Wenn sich mein Verdacht bestätigt, ist es noch viel schlimmer wie aktuell!
Das würde ein völlig anderes Konzept aufrufen, das uns hier nicht gerade zuträglich wäre und mir persönlich überhaupt nicht gefällt!

 

[KunterBunter]

Achso

 

[csmulo]

Übeerleg doch mal selbst, dann kommst du vielleicht auch drauf was ich damit sagen will.
Es sind FB betroffen mit und ohne Fernzugang.
Mit MyFritz und ohne.
Was bleibt dann noch übrig?

 

[rst-cologne]

Es sind FB betroffen mit und ohne Fernzugang.

? wo steht das?

 

[csmulo]

Lese mal bei AVM zwischen den Zeilen.
Das habe ich mir seit geraumer Zeit angewöhnt!
Vor allem nachdem nicht einmal bewiesen ist wann die Daten abgegeriffen wurden!

 

[JohnDoe42]

Was bleibt dann noch übrig?

Das fragen sich vermutlich aktuell einige.Laß uns doch an den Fakten teilhaben.

AchsoAnhang anzeigen 74375

:lach:

Edit:
Wie es scheint, wird die Sache langsam deutlicher. Das würde auch zum obigen Log-Auszug passen: Über https Zugangsdaten ausgelesen (deren Bestandteil das Admin-PW war), dann auf der Box zwei eingetragene User gefunden, beim ersten paßte das PW noch nicht, beim zweiten schon. Damit wäre auch klar, woher die IP-Adresse kam: Nirgendwoher. Einfach direkter Angriff auf eine IP.

 

[csmulo]

Mich interessiert hierbei das Admin PW.
Wie soll das abgegriffen worden sein?
Ich habe bei meinen Fritten noch nie etwas von nem ADMIN-PW gelesen oder wo ich das festlegen oder ändern kann!

 

[sf3978]

Damit wäre auch klar, woher die IP-Adresse kam: Nirgendwoher. Einfach direkter Angriff auf eine IP.

Ich denke man kann auch durch einen einfachen und schnellen tcp-Port-scan einer IP-Range, die IP-Adresse für eine FritzBox ziemlich genau identifizieren/finden. Insbesondere der TCP-Port 8089 soll ja lt. diversen Internetbeiträgen, ein spezifischer lauschender FritzBox-TCP-Port sein (für TR-069). Z. B.:

 ~ $ sudo nmap -sS 109.###.##.## -p443,5060,[color=red]8089[/color]

Starting Nmap 6.00 ( http://nmap.org ) at 2014-02-07 22:18 CET
Nmap scan report for HSI-KBW-109-###-##-##.hsixx.kabel-badenwuerttemberg.de (109.###.##.##)
Host is up (0.024s latency).
PORT     STATE    SERVICE
443/tcp  open	  https
5060/tcp open     sip
[color=red]8089/tcp open[/color]     unknown

Nmap done: 1 IP address (1 host up) scanned in 1.31 seconds

Hinweis: Der TCP-Port 443 ist nur für diesen Portscan geöffnet und dann sofort wieder geschlossen worden.

EDIT:

Achtung: Durch den Portscan auf UDP-Port 5060 können alle aktiven Rufnummern der FritzBox, deaktiviert werden. D. h. die Telefonie der FritzBox, kann bis zu einem Neustart der FritzBox nicht mehr benutzt werden.

Telefonie	[color=red]3 Rufnummern aktiv, davon keine registriert[/color]
08.02.14	08:24:47	Anmeldung der Internetrufnummer #######46 war nicht erfolgreich. Ursache: Gegenstelle antwortet nicht. Zeitüberschreitung.
08.02.14	08:24:46	Anmeldung der Internetrufnummer #######44 war nicht erfolgreich. Ursache: Gegenstelle antwortet nicht. Zeitüberschreitung.
08.02.14	08:06:42	Anmeldung der Internetrufnummer #######83 war nicht erfolgreich. Ursache: Gegenstelle antwortet nicht. Zeitüberschreitung.
...
...

 

[fritzdean]

1&1 hat eben folgendes an die Kunden gemailt:

Eventuell haben Sie bereits davon gehört: AVM gibt derzeit einen
Sicherheitshinweis für FRITZ!Box-Nutzer mit aktiviertem Internetzugriff
über HTTPS (Port 443) heraus und empfiehlt, diesen zu deaktivieren. Bei
Ihrem 1&1 HomeServer, den Sie von uns erhalten haben, handelt es sich um
einen FRITZ!Box-baugleichen Router von AVM.

Aufgrund der von Ihnen verwendeten Hardware und Firmware könnte auch Ihr
1&1 HomeServer betroffen sein. Daher sollten Sie der Empfehlung folgen und
den Internetzugriff über HTTPS (Port 443) vorübergehend als
Sicherheitsmaßnahme deaktivieren. Im 1&1 Hilfe-Center erklären wir Ihnen
Schritt für Schritt, wie einfach diese Abschaltung funktioniert:

https://hilfe-center.1und1.de/article/794235

Wichtig: Bislang liegen uns keine Hinweise oder Erkenntnisse dazu vor, dass
bei 1&1 DSL-Kunden unberechtigte Zugriffe auf ihre Router stattgefunden
haben. Dennoch analysieren wir die Situation derzeit intensiv und
untersuchen alle technischen Zusammenhänge, um die Sicherheit unserer
Kunden weiterhin gewährleisten zu können. In Kürze werden wir daher auch
ein Fimware-Update für Ihren 1&1 HomeServer bereitstellen, womit der
sichere Einsatz wieder gewährleistet ist.

1&1 empfiehlt generell folgende Sicherheitsmaßnahmen, um kriminellen
Missbrauch von persönlichen Daten im Internet zu vermeiden:

• Unterschiedliche Passwörter verwenden, insbesondere für E-Mail-Adresse
und Internetzugang

• Verwenden von Groß- und Kleinschreibung, Ziffern und Sonderzeichen in
Passwörtern

• Passwort auf die Browseroberfläche des 1&1 HomeServers (der FRITZ!Box)
legen

• Aktuellen Viren-Scanner verwenden und regelmäßig aktualisieren (auch auf
mobilen Endgeräten)

• Prüfung der E-Mailadresse auf der Seite
https://www.sicherheitstest.bsi.de/


Bei weiteren Fragen sind wir jederzeit gerne für Sie da. Sie erreichen
unser kompetentes Service-Team täglich, rund um die Uhr, unter 0721 96 00
(kostenfrei aus dem Netz von 1&1, Festnetz- und Mobilfunkpreise anderer
Anbieter ggf. abweichend).

Freundliche Grüße

Kundenservice

1&1 Telecom GmbH

 

[KunterBunter]

@csmulo: Heise schreibt, das Passwort soll gar nicht abgegriffen worden sein. Also ist dein Passwort egal.

 

[JohnDoe42]

Ich hatte vor einiger Zeit spaßeshalber mal ein Script geschrieben, daß eine IP-Range abscannt und auf den Title im Quelltext der http-Seite guckt. Sowas hier

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Frameset//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-frameset.dtd">
<html>
<head>
[b]<title>FRITZ!Box</title>[/b]
...

sollte sich relativ schnell finden lassen. Bleibt die Frage offen, wie über Port 443 nun genau zumindest Teile der Box-Konfiguration direkt ausgelesen werden können ... aber dazu wird AVM wohl höchstwahrscheinlich nichts Konkretes verlautbaren lassen.

@Kunterbunter: Wenn das so wäre, wie paßt dann der obige Log-Auszug (skai) dazu ?

 

[Master1]

Habe soeben das neue FW Update aufgespielt bisher ohne Probleme. Finde es etwas lahm das 1&1 jetzt erst eine Warnung ausgibt, nach der "langen" Zeit.

 

[csmulo]

@ KunterBunter
Wenn Passwort nicht abgegriffen, wie kommen die dann trotz PW-Sicherung auf die Box?
Bemerkst du den Widerspruch?
Das erste was ich bei Fritten mache ist Benutzer mit PW anlegen!
Also dürfte keiner draufkommen.

 

[KunterBunter]

Bei Heise steht doch: Offenbar haben die Angreifer einen Weg gefunden, die Authentifizierung beim Fernzugriff per Browser zu umgehen.
Das heißt im Klartext, das richtige Passwort wurde nicht benötigt. Das passt doch trotzdem zu dem Log-Auszug von skai.

 

[JohnDoe42]

Das passt doch trotzdem zu dem Log-Auszug von skai.

Beim ersten User wurde das "falsche" PW benutzt .... (?)
Der Anmeldeversuch des zweiten Users war dann erfolgreich ... (?)

 

[Armin22]

Update 6.03 für 7490 ist per online update verfügbar

 

[fritzdean]

Im Moment auf Platz 4 auf der Welt Online Homepage: "Schwachstelle in Fritzbox-Routern ist gefunden"

Nachdem nun 1&1 informiert hat, sollte es auch der letzte DAU mitbekommen haben...

... ich habs erst gestern abend mitbekommen

 

[csmulo]

Offenbar: augenscheinlich, anscheinend,ostensiv ....
Also nichts bewiesen.

 

[KunterBunter]

Beim ersten User wurde das "falsche" PW benutzt .... (?)

Er hat gesagt: Karin war kein Admin, nur skai auf Platz 2.