[Info] [Update] Telefonie-Missbrauch (anscheinend doch) Massenhack von AVMs Fritzboxen

[koyaanisqatsi]

Tja, John Doe der Zweiundvierzigste.
Das würde letztendlich auch erklären, warum die bösen Jungs noch nicht geschnappt worden sind.
Oder sind die Hackerjäger wirklich so unfähig?
Übrigens, genau diese Seite/Adresse ist mir aufgefallen, als ich mit darkstat gespielt habe.

Mom, Threadlink wird nachgeliefert....
Hier: Der Link: Was wollen die von mir?

 

[Hans Juergen]

Wenn das stimmt, dass der Zugriff auch ohne Fernwartung möglich ist/war, dann hat AVM aber ein Problem, da sie selbst dies bisher so nicht kommuniziert haben. Meine Box hatte das noch nie aktiviert und ich habe nach diversen Problemberichten mit den gefixten FWs im Vertrauen auf diese AVM-Aussage bisher nicht upgedatet...

 

[SF1975]

Hallo,
Falls sie es wussten und nicht kommunizierten, wäre das fatal. Gehen wir davon aus, dass sie dieses Detail übersehen haben ...

 

[Gobi04]

...
Diese führen u.A. hierher. ...

Wird bei mir durch: "jugendgefährdende Internetseiten sperren (BPjM-Modul)" gesperrt.

 

[koyaanisqatsi]

Aha, ein Kind! Sag das bloss nicht Papa.
Und sorry, falls du doch ein Erwachsener bist.
Die Kindersicherung mit Filter gegen Jugendgefährdene
Medien verhindert keine Angriffe.
Sie ist eher wie Zaphods Brille*, die bei Gefahr undurchsichtig wird.


* aus: "Hitch Hikers Guide"

 

[JohnDoe42]

Wird bei mir durch: "jugendgefährdende Internetseiten sperren (BPjM-Modul)" gesperrt.

:lach: Herrlich !! Woher kommt denn dieses Modul bzw. woher bekommt es seine Blacklists ?

 

[HabNeFritzbox]

JohnDoe42@ Die Logs passen nicht zur Lücke, denn dabei ist kein Login notwenig. Wende dich an den Server Inhaber bzw den Hoster, kannst bei www.ripe.net gucken wem die IP zugeordnet ist. Und dann wendest dich dort an entsprechende Abuse Abteilung. Klappt meistens per Email an abuse@anbieter...

 

[KunterBunter]

@JohnDoe42: Jeder Zugang per IP-Adresse wird gesperrt, nicht nur 141.212.121.29.
@HabNeFritzbox: IPv4 address block not managed by the RIPE NCC

 

[Hans Juergen]

@ SF1975: Spätestens jetzt müsste AVM aber in der Informationspolitik deutlich nachlegen. Offenbar hat AVM aber ein Kulturproblem... Begreifen die nicht, welcher Imageschaden durch diese unehrliche Info-Kultur entsteht?

 

[SF1975]

Hallo,
Wenn sie es wussten, ist es nicht zu (er)klären. Wussten sie es nicht, müssen sie nun aber Butter bei die Fische geben :meinemei:

 

[voipd]

Wenn nun 10 Millionen Menschen davon betroffen sind, kommt das heute Abend in der Tagesschau.

Dann kann sich jeder ausrechnen was das fuer AVM, TR-069, Deutschlandnetz, VDS, NGN, Cloud, etc bedeutet.

Da jeder selbst, durch einen Blick auf den Schreibtisch, feststellen kann ob er betroffen ist, wuerde aber richtig "Schlittengefahren". Da waere die "16 Millionen eMails" Info des BSI harmlos dagegen.

voipd.

 

[koyaanisqatsi]

Bevor es in der Tagesschau gesendet wird, seh ichs als RSS Feed bei N24.
...oder Spiegel Online ...oder Heise?

...oder, oder in meiner Fritz!Box, alle 5 :mrgreen:

 

[JohnDoe42]

@ HabeNeFritzbox:

Da Du Dir die Links in meinem Post angeschaut hast, weißt Du natürlich, daß ich mich um den Inhaber der IP-Adresse(n) bereits bemüht habe.
Und im ersten Link wird sogar eine Abuse-Mail-Adresse genannt ! Was mag wohl passieren, wenn man dahin schreibt mit einem Inhalt á la "Ich habe Euer Anmeldeversuche gemerkt - laßt das bitte." ?
Desweiteren heißt es vor wie nach in den AVM-Veröffentlichungen, daß die Lücke über den Fernzugriff (über https oder TCP Port 443) ausgenutzt wird ... (?)

@ Kunterbunter:

Das sind lediglich Kondensate meiner Firewall-Logs der letzten Zeit diese IPs betreffend. Bei Bedarf kann ich alle der letzten sechs Monate beibringen. Was bedeutet Dein Statement "Jeder Zugang per IP-Adresse wird gesperrt, nicht nur 141.212.121.29." ?

 

[Gobi04]

War auf meinen Beitrag bezogen:

Wird bei mir durch: "jugendgefährdende Internetseiten sperren (BPjM-Modul)" gesperrt.

 

[edward]

Ich denke die Einbrüche fanden hauptsächlich über den Fernzugang statt, denn wie berichtet wurden Anmeldeversuchen vorgenommen, nur dass AVM verheimlicht hat, dass diese Lücke auch über eine präparierte Webseite auch möglich gewesen wäre.

Wenn diese Lücke über den Fernzugang funktioniert, sollte sie grundsätzlich auch aus dem heimischen Netzwerk funktionieren und natürlich auch über einen Javascript-Trojaner, vorrausgesetzt der Browser läßt das zu.

Oder liege ich falsch?

 

[JohnDoe42]

@ Gobi04:

Verstehe. Dann hier mal die IP-freie Variante.

 

[koyaanisqatsi]

@Gobi04: Macht nix, du kannst dich ja wieder freischalten.
Hier: http://fritz.box/internet/kids_blockedip_list.lua :lach:

 

[RFZ]

Naja,

dazu muss der Browser aber zugriff auf Fritz.Box per Javascript oder ein Plugin durch eine anderen Website zulassen. Das ist aber dank cross-domain security meist nicht möglich. Ich denke der "Angriff" gehört zu den eher unwarhscheinlichen Szenarien. Dazu müsste man den Browser mit einem Parameter starten, dass die Cross-Domain Policys nicht durchgesetzt werden.

Nein, das stimmt so nicht. Wenn es eine XSRF Lücke ist, und das wird hier so beschrieben als wär es der Fall, dann greift hier keine Cross-Domain Policy. du kannst einfach ein <img src="http://fritz.box/cgi-bin/?cmd=wget%20trojaner%26%26.%2Ftrojaner" /> oder so in deine Website einbauen und kein Browser wird dich daran hindern dass die FritzBox den code ausführt...

 

[Gobi04]

@koyaanisqatsi
Nee, hab ja nun die "IP-freie Variante"

 

[t.vetter]

Alice IAD 7570 - Firmwareupdate

Hallo zusammen,

ich besitze eine Alice IAD 7570, die ich nach der Anleitung "Fritzen einer Alice IAD 7570 für Dummies " hier aus dem Forum mit Freetz geladen habe. Nun frage ich mich, ob ich die gefreetzte Box mit dem offiziellen Image von AVM für die 7570 (v75.04.92) updaten kann, um das aktuellen Sicherheitsproblem zu beseitigen und wenn das geht, ob ich für den Update auch erst ein 8mb Image laden muss.

Gruß
Thomas