- Anzeige -

Fritz.Box wurde gehackt

In diesem Forum geht es um die Router für Kabel Internet FRITZ!Box 6320, FRITZ!Box 6340, FRITZ!Box 6360 und FRITZ!Box 6490 der Firma AVM.

Re: Fritz.Box wurde gehackt

Beitragvon SpaceRat » 11.02.2014, 10:52

johnripper hat geschrieben:Ich hatte die FB auf dem Port 450 offen. Zum Zeitpunkt des öffnen des Fernzugangs (Version 5.50 oder früher) war nur eine Portrange bis 450 möglich, den ich dann insoweit ausgenutzt habe. Diese Beschränkung ist dann irgendwann mit OS 5.50+ (??) entfallen.

Insofern hat diese "security by obscurity"-Maßnahme doch etwas gebracht: Vor mir hat es einfach andere getroffen.

"security by obscurity" hat versagt: Der https-Teil ist closed source, was unter "security by obscurity" fällt.

Der Non-Standard-Port ist klassisches St.-Florian-Prinzip:
Heiliger St. Florian,
verschon' mein Haus, zünd' and're an!

Lenkradkrallen sind bzw. waren z.B. auch St.-Florian-Prinzip:
Wer dieses Auto will, der kriegt es auch. Aber wenn es nur darum geht, irgendein Fahrzeug für eine Fahrt zu erbeuten (Vollasi hat mal wieder den Bus verpaßt), dann ist die Lenkradkralle zumindest lästig genug, damit der Täter zum Auto daneben ohne Lenkradkralle greift.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Fritz.Box wurde gehackt

Beitragvon johnripper » 11.02.2014, 11:04

tq1199 hat geschrieben:OK, diese im Internet gefundene Boxen können dann auch nicht gekackt werden, weil sie ja auf Port 443 bzw. auf einem anderen Port mit dem Dienst der für den Port 443 vorgesehen ist, nicht lauschen.


Der Fehler lag nicht in dem Protokoll 443 selbst, sondern im Fernzugang. Auf welchen Port der läuft dürfte m.E. ziemlich egal sein. Diesbezüglich ist die Pressemitteilung von AVM etwas ungenau. Aber AVM hat ja schon immer versucht komplizierte technische Begrifflichkeiten zu vermeiden (was es für mir immer schwierig macht zu verstehen, was sie genau meinen).

Da es vermutlich Portscans waren und weniger die öffentlich findbaren Boxen hatte man (sofern man sich nicht googeln lässt) einfach glück.
Office & Internet 150 @ Fritz!Box 6490, OS 6.50
johnripper
Übergeordneter Verstärkerpunkt
 
Beiträge: 834
Registriert: 06.02.2014, 20:29
Wohnort: Kabelbw-Land

Re: Fritz.Box wurde gehackt

Beitragvon johnripper » 11.02.2014, 11:12

SpaceRat hat geschrieben:
johnripper hat geschrieben:Ich hatte die FB auf dem Port 450 offen. Zum Zeitpunkt des öffnen des Fernzugangs (Version 5.50 oder früher) war nur eine Portrange bis 450 möglich, den ich dann insoweit ausgenutzt habe. Diese Beschränkung ist dann irgendwann mit OS 5.50+ (??) entfallen.

Insofern hat diese "security by obscurity"-Maßnahme doch etwas gebracht: Vor mir hat es einfach andere getroffen.

"security by obscurity" hat versagt: Der https-Teil ist closed source, was unter "security by obscurity" fällt.

Was den Dienst angeht haste Recht.

Was das auffinden angeht, sehe ich das anders. Ich glaube kaum, dass die Ressourcen gehabt hätten für jede IP den vollen Portbereich zu scannen. Zumal dies wahrscheinlich aufgefallen wäre. Insofern hat es sehr gut funktioniert.

Im übrigen gebe ich dir natürlich recht, auch wenn ich das Prinzip erst mal googlen musste : )
Office & Internet 150 @ Fritz!Box 6490, OS 6.50
johnripper
Übergeordneter Verstärkerpunkt
 
Beiträge: 834
Registriert: 06.02.2014, 20:29
Wohnort: Kabelbw-Land

Re: Fritz.Box wurde gehackt

Beitragvon tq1199 » 11.02.2014, 11:16

johnripper hat geschrieben:Der Fehler lag nicht in dem Protokoll 443 selbst, ...

Du meinst das HTTPS-Protokoll. Nein, das wurde nicht gehackt, dieses Protokoll ist auch nicht "closed source". Es geht um einen Dienst (closed source), für den AVM standardmäßig den Port 443, als Port zum lauschen vorgesehen hat und der mit dem HTTPS-Protokoll erreicht werden soll.
Zuletzt geändert von tq1199 am 11.02.2014, 11:18, insgesamt 1-mal geändert.
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note
tq1199
Glasfaserstrecke
 
Beiträge: 1276
Registriert: 07.02.2014, 10:05

Re: Fritz.Box wurde gehackt

Beitragvon eazrael » 11.02.2014, 11:16

johntheripper hat verstanden, was ich meinte. Wie würdet ihr denn die jetzige web-basierte Application-Authentifizierung nennen?

Die Fernwartung mit der vorgeschalteten HTTP-Authentifizierung wäre doch vermutlich gegen den Remote-Angriff immun gewesen, sofern die kritischen Skripte nicht von der Auth ausgenommen waren. Sofern sollte man doch die verwundbaren ziemlich hart eingrenzen können. Was uns Zwangsrouter-Nutzern natürlich eh nix hilft, da wir auf Gedeih und Verderben UM ausgeliefert sind.

Das wäre doch auch eine interssante Haftungsfrage. Bin ich verpflichtet die Fernwartung abzuschalten bis sich UM bequemt den Fix auszurollen oder haftet UM für den Missbrauch, weil die Config eigentlich deren Domäne fällt und sie den Fix nicht zeitnah ausgerollt haben?

Vor 2 Jahren gab's dann schon mal diese Lücke hiier:
viewtopic.php?f=53&t=20665

Danach gab's die vorgeschaltete HTTP-Auth für die Fernwarting (sofern man http deaktivierte und https aktivierte)
Tarif: Business 150 Internet + Phone
https://www.evilazrael.de gehostet zuhause, sogar mit IPv6 (lautet bald: sogar mit IPv4 ;))
eazrael
Kabelexperte
 
Beiträge: 236
Registriert: 18.05.2012, 21:34
Wohnort: Troisdorf

Re: Fritz.Box wurde gehackt

Beitragvon SpaceRat » 11.02.2014, 11:18

tq1199 hat geschrieben:Denn im Internet werden mit "site:myfritz.net" auch FritzBoxen angzeigt, die weder auf Port 80 noch auf Port 443 lauschen, sondern z. B. auf Port 81 oder 85 oder irgend ein anderer Port. OK, diese im Internet gefundene Boxen können dann auch nicht gekackt werden, weil sie ja auf Port 443 bzw. auf einem anderen Port mit dem Dienst der für den Port 443 vorgesehen ist, nicht lauschen.

Ich würde mich da jetzt nicht zu 110% drauf festlegen, aber doch zu 99%:

Jain.
Für den Google-Index sind Web-Seiten (http/https) und ggf. noch FTP-Server relevant. Wenn unter der Adresse xyz.myfritz.net nun nichts davon zu finden ist, dann sollte diese Fritz!Box auch nicht bei Google auftauchen.

Einschränkung: Für die Aufnahme in den Such-Index muß nicht unbedingt die Fritz!Box diesen ftp/http/https-Server darstellen, sondern es kann sich eben auch um ein angeschlossenes Gerät oder einen reingefreezten Apache handeln.

Erweiterung: Ist keiner der o.g. Server zu öffnen, erfolgt auch dann keine Aufnahme, wenn die Server vorhanden sind.

Test, Schritt 1:
  • Suche auf Google nach site:myfritz.net
    Jede Menge Treffer
  • Kopieren einer spezifischen Adresse aus den Suchtreffern, z.B. abcdefghij.myfritz.net und Wiederholen der Suche mit site:abcdefghij.myfritz.net
    Wir erhalten als Suchtreffer die gesamte Seitenstruktur
Fazit: Wir können durch Angabe der vollständigen MyFritz!-URL überprüfen, ob überhaupt etwas indiziert wurde.
Ich will jetzt nicht eine echte myfritz.net-Adresse als Beweis anführen, aber glaubt mir einfach, daß das durchaus auch dann funktioniert, wenn auf der Fritz!Box-Adresse selber nichts offen ist, aber auf einem angeschlossenen Gerät (Also <Gerät>.abcdefghijklm.myfritz.net).

Test, Schritt 2:
  • Suche nach der eigenen MyFritz!-Adresse mit site:<eigene-MyFritz-Addy>.myfritz.net
    Es wurden keine mit Ihrer Suchanfrage - site:xxxxxxxxxxxxxxxx.myfritz.net - übereinstimmenden Dokumente gefunden.

Und das, obwohl unter dieser Adresse
- ein FTPS-Server
und
- drei bis vier HTTPS-Server (Darunter zwei Enigma-Receiver und der Fritz!Box-Fernzugang)
erreichbar sind.

M.a.W.: Da Google bereits jeweils am Auth/der Key-Challenge scheitert, wird auch genau gar nichts indiziert.
Dies gilt auch, wenn der Fernzugang auf Non-Standard-Port läuft, da Google dort niemals zu suchen anfängt. Suchtreffer auf Nicht-Standard-Ports resultieren aus Links auf regulär (Standardport) erreichbaren Seiten.

q.e.d.: Der Fritz!Box-Fernzugang wird nur deshalb überhaupt in den Google-Index übernommen, weil es dort auf dem Standard-Port eine Login-Seite zu indizieren gibt.
Gibt es aufgrund einer Key-Challenge oder wegen Basic Auth nichts zu indizieren, bleibt man für diese Suche unerkannt, ebenso, wenn man Google nicht durch Verlinkung auf einen Fernzugang auf den Non-Standard-Port stößt.

Bei einem Port-Scan auf die schon bekannte MyFritz!-Adresse würde der Fernzugang allerdings auch weiterhin gefunden werden und wäre auch angreifbar (Nicht bei mir, da schon Firmware 06.03 installiert).
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Fritz.Box wurde gehackt

Beitragvon tq1199 » 11.02.2014, 11:28

SpaceRat hat geschrieben:..., aber glaubt mir einfach, daß das durchaus auch dann funktioniert, wenn auf der Fritz!Box-Adresse selber nichts offen ist, aber auf einem angeschlossenen Gerät (Also <Gerät>.abcdefghijklm.myfritz.net).

Das müssen wir nicht "glauben", das ist so und das kann jeder der My!Fritz (bzw. einen anderen dyndns-Dienst) und z. B. FRITZ!App Cam auf seinem Smartphone/Tablet mit der FritzBox benutzt, testen.
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note
tq1199
Glasfaserstrecke
 
Beiträge: 1276
Registriert: 07.02.2014, 10:05

Re: Fritz.Box wurde gehackt

Beitragvon johnripper » 11.02.2014, 11:33

eazrael hat geschrieben:Die Fernwartung mit der vorgeschalteten HTTP-Authentifizierung wäre doch vermutlich gegen den Remote-Angriff immun gewesen, sofern die kritischen Skripte nicht von der Auth ausgenommen waren.

Es hätte mind. größeren Aufwand bedeutet. Ob damit das Leck vollständig abgedichtet gewesen wäre kann man nicht sagen, da man nichts über den Angriff weiß und ich nichts über die Wirkungsweise von HTTP-AUTH.
Ich bin auch der Meinung, dass die Identifizierung der Boxen schwieriger geworden wäre, da HTTP-AUTH keinen Rückschluss auf das gerät zugelassen hat. Aber da wurde ich anderer Stelle korrigiert, dass die Loginmaske durchaus etwas über eine Fritzbox gesagt hat.

eazrael hat geschrieben:Das wäre doch auch eine interssante Haftungsfrage. Bin ich verpflichtet die Fernwartung abzuschalten bis sich UM bequemt den Fix auszurollen oder haftet UM für den Missbrauch, weil die Config eigentlich deren Domäne fällt und sie den Fix nicht zeitnah ausgerollt haben?

Ja, m.E. schon. Schau mal in deine AGBs. Du bist zur "Schadensabwehr" verpflichtet. Deswegen verstehe ich nicht warum die KBW Kunden nicht per Email informiert wurden.

SpaceRat hat geschrieben:M.a.W.: Da Google bereits jeweils am Auth/der Key-Challenge scheitert, wird auch genau gar nichts indiziert.

Richtig.
Office & Internet 150 @ Fritz!Box 6490, OS 6.50
johnripper
Übergeordneter Verstärkerpunkt
 
Beiträge: 834
Registriert: 06.02.2014, 20:29
Wohnort: Kabelbw-Land

Re: Fritz.Box wurde gehackt

Beitragvon SpaceRat » 11.02.2014, 12:04

eazrael hat geschrieben:Vor 2 Jahren gab's dann schon mal diese Lücke hiier:
viewtopic.php?f=53&t=20665

Nicht wirklich.

Die Fritz!Boxen war noch nie über http von außen erreichbar, nur per https und das war schon immer standardmäßig aus.
Beständiges Wiederholen anderslautender falscher Behauptungen machen sie auch nicht wahrer.

eazrael hat geschrieben:Danach gab's die vorgeschaltete HTTP-Auth für die Fernwarting (sofern man http deaktivierte und https aktivierte)

Falsch.

Richtig ist:
  1. Die Fritz!Boxen sind netzintern und nicht abschaltbar per http ansprechbar und das ist auch gut so, wie sollte man sie auch sonst einrichten?
  2. Die Fritz!Boxen sind netzintern optional zusätzlich per telnet erreichbar (Nicht bei Kabel-Fritten)
  3. Von außen sind alle Fritz!Boxen von außen standardmäßig nicht erreichbar.
  4. Man kann Fritz!Boxen von außen optional ausschließlich per https erreichbar machen.

Details:
  • Zu Punkt 1:
    Lokal und bei physischem Zugriff auf die Box ist es durchaus möglich, die Fritz!Box auf Werkseinstellungen zurückzusetzen.
    Genauso gut kann man die Fritz!Box (Außer Kabel-Modellen) mit einer Recovery-Firmware flashen, den Start-Vorgang anhalten udgl.
    Auch das ist gut so, oder wollt Ihr Eure Geräte wegwerfen/einschicken müssen, wenn Ihr das Passwort vergeßt?

    Physisch zugängliche Geräte sind niemals für irgendeine Sicherheitsstufe zertifizierbar.
    Ein Geldautomat ist auch immer nur so sicher, wie der Tresor, in den er eingebaut ist. Nimmt man den darin enthaltenen PC raus und stellt Ihn auf den Schreibtisch, könnte ihn mein Kater hacken.
  • Zu Punkt 2+3:
    Telnet und auch das normale http-Interface sind standardmäßig und mit Werksmitteln nicht nach außen zu öffnen.
  • zu Punkt 4:
    Der https-Zugang hat in der Vergangenheit (Firmware 04.55-04.xx, ggf. auch länger) Basic Auth zum Login benutzt, d.h. Login und Kennwort wurden in einem vom Browser dargestellten Popup eingegeben (oder mittels login:passwort@URL gleich beim Aufruf mit übergeben, diese Syntax wird aber von manchen Browser standardmäßig nicht mehr unterstützt, weil man auf diese Weise Vollhonks falsche URLs vorgaukeln konnte) und nach wohl definierten Standards an den Server übertragen.
    Hierbei ist ein "Passwort vergessen"-Link gar nicht möglich.

    In neueren Firmwares wurde Basic Auth durch eine von der Fritz!Box dargestellte Login-Seite ersetzt (Die der Grund ist, wieso die Fritz!Boxen im Google-Index indiziert werden, da diese Seite immer lesbar ist). Ein Passwort-Reset ist hier aber nicht möglich. Den "Passwort-Reset"-Link erreicht man erst, wenn man diese Login-Seite passiert hat und sich dann mit dem normalen Fritz!Box-Kennwort nochmals authentifizieren muß.

Den "Passwort vergessen"-Link erreicht man also nur, wenn man sich entweder lokal anmelden will oder die Authentifizierung für den Fernzugang bereits geschafft hat, nicht aber - wie behauptet - "einfach so aus dem Internet".

Für den Zugriff von außen kommt noch ein Aspekt etwas hinzu:
Selbst wenn der Link von außen erreichbar wäre, wäre er für einen Angreifer wertlos, da nach dem Reset der Zugriff von außen gesperrt wäre (Fernzugang ist standardmäßig aus) und ein Großteil der Boxen wäre danach sogar komplett offline, da bei DSL i.d.R. ja nun einmal Zugangsdaten benötigt werden, die dann mit weg sind.
Schlimmstenfalls wäre es also lästig, wenn es denn überhaupt ginge, was ja nun schlichtweg gelogen ist.

Für den Zugriff von innen kann man sich jetzt darüber streiten, ob der "Passwort vergessen"-Link so clever ist oder ob nicht ein physischer Reset-Knopf besser gewesen wäre.
Sicherlich hat sich die Fritz!Box damit als Firmen-Router in gewisser Weise disqualifiziert, denn mit physischem Reset-Knopf wäre sie in einem abgeschlossenen 19"-Rack vor Angriffen von innen sicher, während sie mit dem Link von innen angreifbar ist.

Diese Diskussion ist aber eher akademischer Natur:
Die Fritz!Box ist eben kein Profi-Router, sondern für private Internet-Anschlüsse konzipiert. Ein "richtiger" Router wird ja aus gutem Grund nicht per http/https gewartet, sondern per ssh oder sogar ausschließlich per serieller Konsole ...
Die einzige Gefahr, die bei einer Fritz!Box von innen droht, ist der Sproß der Familie, der unbedingt statt auf Pornoseiten auf irgendwelchen Lernseiten surfen will, die die Eltern ihm gesperrt haben, damit er kein Streber wird sondern sich normal entwickelt. Und vor dem ist die Fritz!Box so oder so nicht sicher, da sie für ihn physisch erreichbar ist.
Genauso kann er auch einfach per ethercap den normalen http-Login mitloggen ...

Und in besseren Zeiten gab es dafür eine ganz einfache und wirksame Methode: Über's Knie legen.
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 6.0@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.0
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, XXL, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Fritz.Box wurde gehackt

Beitragvon johnripper » 11.02.2014, 12:16

SpaceRat hat geschrieben:
  • zu Punkt 4:
    Der https-Zugang hat in der Vergangenheit (Firmware 04.55-04.xx, ggf. auch länger) Basic Auth zum Login benutzt, d.h. Login und Kennwort wurden in einem vom Browser dargestellten Popup eingegeben (oder mittels login:passwort@URL gleich beim Aufruf mit übergeben, diese Syntax wird aber von manchen Browser standardmäßig nicht mehr unterstützt, weil man auf diese Weise Vollhonks falsche URLs vorgaukeln konnte) und nach wohl definierten Standards an den Server übertragen.
    Hierbei ist ein "Passwort vergessen"-Link gar nicht möglich.

    In neueren Firmwares wurde Basic Auth durch eine von der Fritz!Box dargestellte Login-Seite ersetzt (Die der Grund ist, wieso die Fritz!Boxen im Google-Index indiziert werden, da diese Seite immer lesbar ist). Ein Passwort-Reset ist hier aber nicht möglich. Den "Passwort-Reset"-Link erreicht man erst, wenn man diese Login-Seite passiert hat und sich dann mit dem normalen Fritz!Box-Kennwort nochmals authentifizieren muß.

Hierzu eine Anmerkung:
Soweit ich mich erinnern kann wurde die HTTP-Auth stets vor die Loginseite geschaltet. Möglich, dass es in noch früheren Version nur den HTTP-Auth gab. Dazu kann ich nicht sagen.

Konkrekt:
- Man musste sich zuerst mittels HTTP-Auth einloggen. Dazu konnte man in dem Menü "Fernwartung" einen Benutzernamen und ein Passwort festlegen, so wie es einem gefällt.
- Im zweiten Schritt musst man das Admin Passwort der Box auf der Login Seite die mittels HTTP/HTML dargestellt wurde eingeben.

Dies war zumindest so, sofern es um die Fernwartung über WAN ging. Welche FW Versionen dies betraf kann ich leider nicht sagen. Auch wann dieses Feature ersatzlos gestrichen wurde weiß ich leider nicht mehr. War aber bei der 85.50.50 schon so implementiert, dass man nur noch die Loginseite erhalten hat.
Office & Internet 150 @ Fritz!Box 6490, OS 6.50
johnripper
Übergeordneter Verstärkerpunkt
 
Beiträge: 834
Registriert: 06.02.2014, 20:29
Wohnort: Kabelbw-Land

VorherigeNächste

Zurück zu FRITZ!Box für Kabel Internet

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 13 Gäste