[Info] [Update] Telefonie-Missbrauch (anscheinend doch) Massenhack von AVMs Fritzboxen

[rst-cologne]

Ok, sie brauchten dann ja auch einfach nur IP Bereiche zu scannen wo relativ viele Fritzboxen vorkommen (Kabelanbieter, 1&1) und konnten so die Erfolgsquote steigern. Dann wurde sich einfach über die "NSA-Backdoor" :blonk: eingeloggt, und fertig.
AVM hat bei seinen Sicherheitshinweisen vergessen zu erwähnen das man den wlan Schlüssel am besten auch noch ändert. Den konnte man ja auch auslesen - aber das ist momentan wohl eher das kleinste Problem.

 

[edward]

Die Benutzerliste im Loginframe erscheint wenn man sich aus dem Heimnetz anmeldet.
Bei externen Aufruf über den SSL Port wird die Benutzerliste gar nicht angezeigt.

Also hatten die auch irgendwie Zugriff auch auf die Benutzerliste.

 

[johnripper]

Wozu der ganze Aufwand und Tamtam?

Wer überall selben Daten verwendet ist doch selbst schuld, diese Blödheit auch noch Hack nennen. :mrgreen:

Wenn man keine Ahnung hat, dann einfach mal die F** halten.

Es gibt unzählige Berichte von Usern, die die Daten nicht mehrfach verwendet haben.

Die Daten werden wohl gezielt über die Loginpage der Box entnommen.

 

[sven@mainz]

Die Benutzerliste im Loginframe erscheint wenn man sich aus dem Heimnetz anmeldet.
Bei externen Aufruf über den SSL Port wird die Benutzerliste gar nicht angezeigt.

Bei der 6.01 ist das so. Bei den 5.xx-er Versionen kam die Benutzerliste auch beim Fernzugriff. Das ist das Problem, da braucht man nur die Passwörter. Viele haben wohl noch die alte Firmware drauf, wer weiß, was da noch so alles schlummert.

 

[johnripper]

[Edit Novize. Überflüssiges Fullquote des Beitrags direkt darüber gelöscht - siehe Foren-Regeln]
Ist beim Zugriff über myFritz auch so. Was die Sache wohl nicht besser gemacht hat.

 

[sven@mainz]

Bei mir nicht. Es wird nur ein Eingabefeld angezeigt (war schon vor dem Update so). Sowohl beim Einloggen über myfritz, als auch beim Direktzugriff über die kryptische Url.

 

[edward]

Ich habe mal die Firmwares von 7270v3 verglichen und habe einen Unterschied bei ctlmgr_ctl gefunden.

 

[JohnDoe42]

Bei uns wurde gestern nach 23 Uhr ein Angriff auf unsere Fritzbox 7390 durchgeführt.

Hast Du evtl. noch Einträge aus der Ereignisanzeige ?

 

[edward]

Noch eine Änderung gefunden: webcm

Daher liegt meine Vermutung über einen Aufruf über http://fritz.box/cgi-bin/webcm?getpage konnte man die Passwörter(vielleicht nur Hash) ausgeben lassen.

 

[RollinCHK]

Ist schon irre. Immerhin wurden ja schon n paar wichtige Boxen mit Updates versorgt, fehlen nur noch die ganzen 1&1 Geräte (7330 SL, 7360 SL usw.)...

 

[JohnDoe42]

... konnte man die Passwörter(vielleicht nur Hash) ausgeben lassen.

Aha. Und aus den Hashes dann den Klartext reproduzieren und damit ein Stück weit Krypto-Geschichte schreiben ?

 

[Axim88]

[Edit Novize. Überflüssiges Fullquote des Beitrags direkt darüber gelöscht - siehe Foren-Regeln]

Schon mal was von Rainbow Table gehört?
http://de.wikipedia.org/wiki/Rainbow_Table

Gruß Axim
Posting 2 nach 2 Min: :motz:
[Edit Novize. Überflüssiges Fullquote des Beitrags #250 gelöscht - siehe Foren-Regeln]

Ja, Hochachtung an die AVM Jungs.

 

[JohnDoe42]

Hab' ich. Der von Dir verlinkte Artikel behandelt exemplarisch MD5. Welchen Hash verwendet AVM ?

 

[Axim88]

Weiß ich nicht. Hoffe mal SHA-256. Aber für die Wörterbuchliste wird es sicherlich auch die zugehörigen Hash geben.

Ich tippe aber auf einen anderen Weg. TR-064 mit PW 0000 oder so etwas. (Bis 1977 waren ja auch die US- Atomwaffen mit 00000000 abgesichert.)
Posting 2 nach 5 Min: :motz:
dus.net hat das Folgeproblem elegant gelöst.
Alle VoIP-Nutzer werden auf Grund eines "technischen Defekts" zur Passwortänderung gezwungen.
Sonst ab 9.2. „Licht aus“.
Kann ich verstehen. Sie bleiben ja erst einmal auf den Kosten sitzen.
Also, wer dus.net nutzt, sollte mal dort vorbeischauen.

 

[JohnDoe42]

Bischen viel "weiß nicht" und "hoffe mal", oder ? Du weißt natürlich, daß sich die Rainbow-Table eng an den erwarteten Hash anlehnt und mit der Art des Hashes (siehe Gegenmaßnahmen in dem von Dir verlinkten Artikel, z.B. Mehrfach-Hash etc.) der Rechenaufwand ansteigt.

 

[koyaanisqatsi]

Moin

Alles Irrelevant.
Hat der Hacker Vollzugriff auf die Box, ist ihm auch die Möglichkeit gegeben
an jegliche codierten Passwörter zu gelangen, als auch diese zu decodieren.
Andre hat angedeutet das dies genauso "Out 'n' IN another Box" geht.
...wäre aber wahrscheinlich aufwendiger.

 

[onfocus]

Nein, leider nicht. Ich konnte auf die Schnelle nichts unter Ereignisse erkennen, ehe ich dann das Update durchführte, was auch die Logs löschte.

 

[rst-cologne]

[Edit Novize. Überflüssiges Fullquote des Beitrags #255 gelöscht - siehe Foren-Regeln]

genau. ausserdem waren auch Nutzer mit sehr langen Kennwörtern betroffen, der Rechenaufwand wäre enorm - sogar für die NSA

 

[onfocus]

Winet aus der Schweiz.

 

[andilao]

Wer wissen will, welche Kennworte im Klartext auslesbar sind, probiert das einfach mal mit dem ruKernelTool:
Von websrv (HTTPS-) und webui (HTTP-Zugriff), ddns, emailnotify, boxusers, wlancfg (pskvalue), voipcfg {ua1 bis uaN, extensions und onlinetel) sind auslesbar. Ob die damit nicht auslesbaren VPN-Schlüssel-Hashs genug "gesalzen" sind, kann ich nicht beurteilen aber hoffe es eindringlich! Jeder mit festgestellten Einbrüchen in Box und/oder VoIP-Accounts ist also gut beraten, wenigstens die Kennworte von websrv, emailnotify und voipcfg {ua1 bis uaN} zu ändern.