[Info] [Update] Telefonie-Missbrauch (anscheinend doch) Massenhack von AVMs Fritzboxen

Status
Für weitere Antworten geschlossen.
Gute Frage. Zumal ja AVM den Provider rät die IP so oft wie möglich zu wechseln...Ergo scheinen die auch jetzt noch aktuelle IPs zu bekommen.
 
Hallo,
In dem Zusammenhang wäre eine Liste dieses Formates interessant:
(sind nur Beispiele)
ProviderFBF-Model
Firmware
MyFritz
DynDNS
Apps
Kabel-BW
6360
06.01
j
n
AVM-Ticker
Unity Media
7270
05.05
nj
AppFon
...
Dann könnte man mal nach Parallelen suchen. Ich gehe mal davon aus, dass AVM das schon macht ;)
 
Ich gehe mal davon aus, dass AVM das schon macht
Nöö, da sind ja nur Trottel am Werk...
Ganz ehrlich, ich frage mich, für wie blöd hier einige plötzlich den Hersteller halten...
 
Zur Frage der IPs wären sicherlich die Angreifer-IPs interessant. Zumindest ihrem Charakter nach, sprich: Waren/sind es IPs aus einem Mobil-Pool oder "normale" DSL-, Kabel- usw. IPs.
Es gab in diesem Thread kurz mal eine Liste als Anhang zu einem Redaktionspost, die dann wieder gelöscht wurde ...
Vielliecht hat ja jemand eine Kopie dieser Liste und/oder möchte als Betroffener weiter Angreifer-IPs hier einstellen.
 
Hallo,
@Hans Juergen:
Ich kann Dir das Wort Ironie auch noch dazu posten, wenn es Dich beruhigt ... :? Tschau !
 
Wenn Trojaner im Spiel sind, da braucht man sich keine Gedanken zu machen, woher die aktuelle IP der Fritz stammt.
Diese Funktion haben die Trojaner inklusive.
 
Hallo zusammen,

wir haben durch die Arbeit 11 Unitymedia Anschlüsse, einer davon war auch betroffen.
Zum Glück hatten wir aber schon immer eine Telefonsperre, das keine kostenpflichtige Gespräche geführt werden können.

Der Anschluss wird nur für "schnelles" Internet mit fester IP benötigt, dahinter ist eine VPN Box.
Fernzugriff auf der Fritzbox 6360 war mit der E-Mail Adresse z.B.: [email protected] erstellt, wird auch in keiner App benutzt.
Auf der Fritzbox wird automatisch der Benutzer xyz-domain.de daraus, mit der E-Mail [email protected] .

Und der xyz-domain.de wurde als Benutzer für den Hack verwendet, den wir so nie verwenden, wo ich bisher gar nicht wußte , das es diesen gibt.

Also ich bin der Meinung, das wurde schön aus der Fritte heraus gelesen.

Ich kann also auch nur raten, die Passwörte für Pushmail usw. was noch so auf der Fritte gespeichert ist zu ändern.

Weil sicherlich mehr Boxen ausgelesen wurde, als letztendlich für Phase 1.1 (Anmeldung über Fernwartung) oder 2 (telefonieren) verwendet wurde.

Gruß
Marco
 
Aber irgendwann wurde doch Benutzer erstellt und einen Passwort vergeben, oder?
 
Woher bekomme ich die (tages-) aktuelle IP der Box ?

Eine von vielen Möglichkeiten habe ich doch in [post=1984250]Beitrag #153[/post] schon beschrieben (Trojaner)! Zweitens haben immer mehr Anschlüsse eben keine 24h Zwangstrennung mehr (z.B. Telekom IP-Anschluss), drittens kann man sich per PushMail auf Wunsch auch über jede IP-Änderung der FritzBox informieren lassen, viertens hat man ja scheinbar Zugriff auf das E-Mailkonto und braucht somit nur abwarten (bei 24h Zwangstrennung) bis mal wieder eine Pushmail der FritzBox eintrifft (könnte man mit einem Filter beim E-Mailanbieter automatisch weiterleiten lassen oder per POP3 oder IMAP-Zugriff und hat dann ein paar Stunden Zeit zu reagieren), fünftens würde ich nach wie vor Smartphone-Apps nicht ausschließen wollen (wieder Trojaner) und sechstens gibt es den ebenfalls schon erwähnten MITM-Angriff als Möglichkeit (insb. in öffentlichen Netzen).

Ganz zu schweigen von dem ebenfalls schon sehr naheliegenden Verdacht einfach die Mailadresse bei MyFritz einzugeben, das ist dann aber kein primäres Sicherheitsleck von MyFritz, genauso gut könntest du deine Mailadresse samt identischen Passwort auch bei einem anderen DDNS-Dienst zur Anmeldung verwenden...
 
Mal ne blöde Frage:

Sollte man die VPN-Verbindungen auch deaktivieren? Oder sind diese sicherer?

VPN funktioniert ja weiterhin - auch wenn der Internetzugriff auf die FRITZ!Box über HTTPS deaktiviert ist.

Zumindest wenn dyndns oder myfritz noch aktiv ist.

Und wenn man mit dem VPN verbunden ist kann man sich ja auch in die FritzBox einloggen.
 
Auf die Frage ob ich ein Passwort in meiner Box hatte möchte ich natürlich gern helfen.
Mit dem Passwort habe ich mich natürlich nicht mit Ruhm bekleckert es bestand aus 6 Buchstaben und ich habe keinen Benutzernahmen gesetzt. Hatte allerdings mit meiner E-Mail nichts zu tun.
Ich weiß nicht ob beim Fernzugrif ein Benutzer abgefragt wird, allerdings hatte ich keinen gesetzt.

Ich habe alle Einstellungen so wie von AVM und Unity Media eingestellt und das implantierte IP Telefon gelöscht. Ich kontrolliere jetzt mehrmals täglich und es scheint nun Ruhe zu sein.
 
Zuletzt bearbeitet:
Upps ich habe noch etwas vergessen und möchte da nicht in die irre führen
Meine Handy ist über die FRITZ!AppFon mit der Box verbunden zusätzlich habe ich die Sipdroid App noch installiert.
 
Hallo,
Es scheint zumindest etwas zu sein, was man als Lücke bezeichnen kann, wenn ich mir den Text von AVM (mein Post 174) ansehe. Aber nur eine Vermutung.
 
Presseinformation 07.02.2014


Angriffe auf FRITZ!Box nachvollzogen – Updates in Vorbereitung – Sicherheitshinweis gilt weiterhin

Kriminelle Attacken auf Port 443
Angriffsmuster geklärt
Erste Updates für FRITZ!Box noch an diesem Wochenende
Sicherheitshinweis zu Port 443 gilt weiterhin

Die in den letzten Tagen aufgetretenen Angriffe auf die FRITZ!Box sind nachvollzogen. Durch intensive Entwicklungsarbeit konnte AVM das Angriffsmuster der Täter identifizieren. Demnach haben die Täter über den Port 443 einen Angriff durchgeführt und sind so in die FRITZ!Box eingedrungen. Dabei konnten auch Passwörter entwendet werden. AVM wird ab dem Wochenende Software-Updates bereitstellen, so dass keine weiteren Angriffe nach diesem Muster erfolgen können. AVM hat die aktuellen Erkenntnisse an die ermittelnden Behörden übergeben.

Peter Faxel, CTO von AVM: „Die Entwicklung neuer Software durchläuft bei uns mehrere Sicherheitsstufen und sie wird vor Veröffentlichung zusätzlich von namhaften Experten geprüft. Umso mehr bedauern wir die aktuellen Vorfälle und die Einschränkungen, die unseren Kunden aktuell entstehen.“

Die beobachteten Angriffe betreffen alle FRITZ!Box-Geräte, bei denen aktiv der MyFRITZ-Dienst oder der Fernzugriff eingeschaltet wurde. Da möglicherweise neben den Zugangsdaten weitere Passwörter entwendet wurden, empfiehlt AVM dringend, alle mit der FRITZ!Box zusammenhängenden Passwörter und Zugangsdaten zu erneuern. Eine Anleitung dazu findet sich unter avm.de/sicherheit.

Die bereits ausgesprochene Empfehlung den Port 443 („Internetzugriff auf die FRITZ!Box über HTTPS“) zu schließen, gilt weiterhin und unterbindet diese Angriffe. AVM wird ab dem Wochenende neue Firmware-Versionen für die FRITZ!Box-Modelle bereitstellen. Nach dem Update stehen Fernzugriff und MyFRITZ! wieder uneingeschränkt zur Verfügung. Unter avm.de/sicherheit finden Anwender eine Übersicht der aktuell verfügbaren Downloads.
 
Zuletzt bearbeitet:
Hallo,
empfiehlt AVM dringend, alle mit der FRITZ!Box zusammenhängenden Passwörter und Zugangsdaten zu erneuern.
Wenn das alle(!) betrifft:
DSL-Zugang, VoIP, WebDAV, eMail, ... Halleluja ...
 
oha, kaum spreche ich meinen Verdacht, da wird auch schon wahr :mad:
 
Bitte beim Thema bleiben. Irgendwelches BPjM-Zeug, dubiose Links usw. haben hier nichts zu suchen und damit sind die einzelnen Bits dieser Beiträge sortengerecht recycled.
 
Status
Für weitere Antworten geschlossen.
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.