[Info] [Update] Telefonie-Missbrauch (anscheinend doch) Massenhack von AVMs Fritzboxen

Status
Für weitere Antworten geschlossen.
Abei AVM brauch man nicht schauen, die sagen immer alles ist gut :D
Hier wird doch oft berichtet wie die neuen Versioenen von AVm so sind, mein letzter Stand war das viele über die 6er version geschimpft haben, einige sagen das Wlan ist zu langsam, andere sagten das Wlan geht garnicht....etc.
Deswegen frag ich, wie ist die 06.03 ?

Ich bin nach empfehlungen aus dem Forum hier wieder bei der 5.Xer beta, die läuft super. An die 6er hab ich mich nach dem ich die duzende Beiträge hier gefunden hatte nicht mehr rann getraut. Denn zurück kommt man nur seeehhrrr umständlich.

Deswegen fragte ich, gibt es hier schon ein Bereich wie die 06.03 getestet wurde ?
 
FALSCHE THEMA !

Einfach probieren! Umständlich ist es auch nicht, wenn man sich FW + Konfig sichert. Einfach mal passende FW Thema suchen scheint auch schon umständlich oder Eigenbemühungen.
 
Hier hilft wohl nur noch der Holzhammer auf den Kopf...

Würde es alte nicht betreffen, würden alte Boxen keine Updates geben wie 7170, welche keinen Support mehr hat.
 
Hallo,
Dann geh zurück zur 05.xx und freue Dich, wenn Du eine Telefonrechnung bekommst :meinemei: Bei mir rennt die auf der Box (ATA).

@HabNeFritzbox:
Wer nicht will, der hat schon. Wir beide hauen besser mal nicht, das können die selber erleben :blonk:
 
Dann bleib dabei, haben wir unsere Ruhe. Aber dann nicht jammern, wenn wer Lücke ausnutzt.
 
Hab ein AVM Newsletter bekommen mit: "Das Update ist bereits für zahlreiche Modelle wie FRITZ!Box 7490, 7390, 7270 oder 7170 verfügbar."
Also auch die frühere FWs betroffen!
 
@gogo

geht mir nicht anders. meine 7570 wird nicht mehr von AVM Supportet.

was Solls :)

Ich habe vorhin nach dem AVM Newsletter ne Anfrage bezüglich der 7570 gestellt, Antwort kam grad rein : 7570 Update kommt in kürze .......
Da bin ich jetzt echt mal überrascht, hatte ich nicht mit gerechnet.
 
Hallo!

Laut AVM "... lagen den Tätern zum Zeitpunkt des Angriffs die Zugangsdaten zur FRITZ!Box bereits vor."

Wenn das so ist, wieso gibt es dann ein Sicherheitsupdate? Wer die Zugangsdaten hat, kommt auf die Box! Davor schützt kein Sicherheitsupdate!

Da AVM aber ein Sicherheitsupdate erstellt, gibt es also
a) eine Sicherheitlücke in der Firmware und
b) ist diese auch AVM bekannt!

Wobei ich den Verdacht hege, dass erst durch diese Sicherheitslücke die Täter an die Zugangsdaten gelangen konnten.

Wenn also die Täter über die Zugangsdaten verfügen bzw. verfügten, können sie auch dier FW manipuliert haben und alle "Updates" laufen ins Leere - da sollte man mindestens ein Recovery machen!

Ich habe schon vor ca. 6 Monaten Hacker-Angriffe auf die Box bemerkt und daraufhin einen alten PC mit Linux und iptables als Firewall eingerichtet und in der FritzBox alle Ports incl. 5060 auf diese durchgeschleift. Über iptables habe ich dann alle VoIP-Ports für "fremde" IPs gesperrt und auf Log gelegt. Doch es wird weiter versucht, hier der Log von gestern (int. IP und MAC entfernt):

Code:
[SIZE=1]Feb  9 04:51:49 IN=eth0 OUT= MAC=... SRC=85.25.195.209 DST=... LEN=443 TOS=0x00 PREC=0x00 TTL=45 ID=0 DF PROTO=UDP SPT=5134 DPT=5062 LEN=423
Feb  9 06:45:30 IN=eth0 OUT= MAC=... SRC=85.25.195.210 DST=... LEN=443 TOS=0x00 PREC=0x00 TTL=44 ID=0 DF PROTO=UDP SPT=5293 DPT=5061 LEN=423
Feb  9 07:05:07 IN=eth0 OUT= MAC=... SRC=119.81.75.18 DST=... LEN=441 TOS=0x00 PREC=0x00 TTL=45 ID=0 DF PROTO=UDP SPT=5169 DPT=5060 LEN=421
Feb  9 10:22:07 IN=eth0 OUT= MAC=... SRC=199.115.118.168 DST=... LEN=447 TOS=0x00 PREC=0x00 TTL=53 ID=0 DF PROTO=UDP SPT=5060 DPT=5060 LEN=427
Feb  9 13:11:52 IN=eth0 OUT= MAC=... SRC=66.240.236.119 DST=... LEN=257 TOS=0x00 PREC=0x00 TTL=109 ID=6778 PROTO=UDP SPT=41573 DPT=5060 LEN=237
Feb  9 14:39:50 IN=eth0 OUT= MAC=... SRC=188.138.41.34 DST=... LEN=442 TOS=0x00 PREC=0x00 TTL=48 ID=0 DF PROTO=UDP SPT=5069 DPT=5060 LEN=422
Feb  9 16:17:55 IN=eth0 OUT= MAC=... SRC=162.209.124.62 DST=... LEN=445 TOS=0x00 PREC=0x00 TTL=50 ID=0 DF PROTO=UDP SPT=5846 DPT=5060 LEN=425
Feb  9 16:36:25 IN=eth0 OUT= MAC=... SRC=81.30.145.190 DST=... LEN=443 TOS=0x00 PREC=0x00 TTL=51 ID=0 DF PROTO=UDP SPT=5073 DPT=5060 LEN=423
Feb  9 16:53:20 IN=eth0 OUT= MAC=... SRC=82.196.207.154 DST=... LEN=436 TOS=0x00 PREC=0x00 TTL=43 ID=0 DF PROTO=UDP SPT=5062 DPT=5060 LEN=416
Feb  9 17:01:41 IN=eth0 OUT= MAC=... SRC=85.25.195.210 DST=... LEN=441 TOS=0x00 PREC=0x00 TTL=47 ID=0 DF PROTO=UDP SPT=5065 DPT=5060 LEN=421
Feb  9 20:51:19 IN=eth0 OUT= MAC=... SRC=85.25.194.185 DST=... LEN=444 TOS=0x00 PREC=0x00 TTL=44 ID=0 DF PROTO=UDP SPT=5206 DPT=5060 LEN=424
Feb  9 22:45:45 IN=eth0 OUT= MAC=... SRC=198.50.145.104 DST=... LEN=443 TOS=0x00 PREC=0x00 TTL=50 ID=0 DF PROTO=UDP SPT=5060 DPT=5060 LEN=423
Feb  9 23:33:37 IN=eth0 OUT= MAC=... SRC=119.81.75.18 DST=... LEN=441 TOS=0x00 PREC=0x00 TTL=45 ID=0 DF PROTO=UDP SPT=5120 DPT=5060 LEN=421
Feb  9 23:56:42 IN=eth0 OUT= MAC=... SRC=62.28.113.37 DST=... LEN=439 TOS=0x00 PREC=0x00 TTL=49 ID=0 DF PROTO=UDP SPT=5079 DPT=5060 LEN=419[/SIZE]

Aber das ganze war nicht so einfach. Sipgate hat fast 4 Wochen benötigt um mir ihre IP-Adressen mitzuteilen, die freigegeben werden müssen.
 
Zuletzt bearbeitet:
Ich hoffe, dass AVM auch noch ein Sicherheitsupdate für die Nutzer heraus bringt, die auf Grund von vorhandener Hardware eine Firmware nutzen, in die WDS noch integriert ist. Alleine in meinem Bekanntenkreis kenne ich 3 Leute, die die FB 7270v2 mit WDS und z.B. einer FB 7112 nutzen.
 
Moinsen ... gerade die 7170 auf .88 geupdatet und die Kennwörter reihweis erneuert. Angriffe hatte ich keine festgestellt (bisher).
Ich stelle mir die Frage, ob die Brüder tatsächlich bei mir reingekonnt hätten, vielleicht kann das nochmal jemand mit Kennung beantworten.
- Fernwartung war aktiv, ja. Nutze eine Selfhost-DNS.
- Das Fernwartungspasswort sowie das Zugangspasswort zu Benutzeroberfläche verwende ich nirgends sonst,
Fremd-Kenntnis kann ich ausschließen, es sei denn, ich habe doch einen Trojaner auf dem PC.
Reichte jetzt die offene Fernwartung oder was hätten die Leuts noch wissen müssen, um mich auszuspionieren? Wie funktionierte die Sicherheitslücke?

Sorry wenn das schon mal gefragt wurde, ich habe es auf die Schnelle nicht gefunden.
 
Da noch viele ungesicherte Boxen offen sind wird es keine exakten Beschreibungen dazu geben...
Männo, klar doch, dass hier keine Hackanweisung erwartet wird.
Offenbar war die Kenntnis der Fernwartungs-Zugangsdaten nicht nötig, sonst hätte es kein Sicherheitsproblem und die Updates gegeben. Die Frage ist nur, ob die Hacker mit dem Angriff auch am normalen Login vorbeikommen sind oder ob der Angriff beispielsweise nur möglich war, wenn kein internes Zugangspasswort zur Konfigoberfläche gesetzt oder das Zugangspasswort bekannt oder erraten war. Wie genau, ist unwichtig.
 
Soweit bekannt, war kein Passwort oder irgendwas notwendig. Also selbst das sicherste Passwort hätte nix genutzt.
 
Wenn du Fernwartung verwendest, musst doch Box Benutzer verwenden, also passt dass ja schon mal nicht zu "keine Anmeldung".

Es handelt sich wohl wie auf letzten Seiten angesprochen wohl um eine PHP bzw. CGI Injection, womit man wohl Zugriff hatte auf den gesamten Speicher ohne Anmeldung, und konnte so Daten auslesen.

Wirkliche Infos sind dazu bisher nicht bekannt. Daher eher noch spekulativ.
 
Zuletzt bearbeitet von einem Moderator:
Status
Für weitere Antworten geschlossen.
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.