- Anzeige -

Fritz.Box wurde gehackt

In diesem Forum geht es um die Router für Kabel Internet FRITZ!Box 6320, FRITZ!Box 6340, FRITZ!Box 6360 und FRITZ!Box 6490 der Firma AVM.

Re: Fritz.Box wurde gehackt

Beitragvon SpaceRat » 11.02.2014, 12:23

johnripper hat geschrieben:
eazrael hat geschrieben:Die Fernwartung mit der vorgeschalteten HTTP-Authentifizierung wäre doch vermutlich gegen den Remote-Angriff immun gewesen, sofern die kritischen Skripte nicht von der Auth ausgenommen waren.

Es hätte mind. größeren Aufwand bedeutet. Ob damit das Leck vollständig abgedichtet gewesen wäre kann man nicht sagen,

Doch, kann man und das sogar mit Bestimmtheit: Es hat den Angriff als solchen nicht verhindert.

Das kann man ganz einfach daran sehen ...

AVM Update News
FRITZ!Box 7170 Version 29.04.88
Neue Features: - Sicherheit: Unberechtigte Zugriffsmöglichkeit auf FRITZ!Box behoben. Beachten Sie dringend die aktuellen Hinweise unter http://www.avm.de/sicherheit
Sprache: Deutsch Dateigröße: 8340 KB
Version: 29.04.88 Datum: 10.02.2014
...
AVM Update News English
FRITZ!Box 7570 VDSL Version 75.04.92
New Features : -Security: removes possibility for unauthorized access to FRITZ!Box. Please check for important information here: http://www.avm.de/en/Sicherheit
Sprache: English Dateigröße: 12340 KB
Version: 75.04.92 Datum: Feb 10, 2014

... daß AVM auch uralte und eigentlich gar nicht mehr gepflegte Boxen aktualisiert hat, deren Firmware noch vorgeschaltetes Basic Auth verwendet haben.

Laut meiner Anfrage vom 9.2.2014 bei AVM gab es übrigens keine dokumentierten Fälle von Betroffenen bei diesen Boxen:
AVM hat geschrieben:Generell kann ich ein Eindringen über den Https-Fernzugriff derzeit für
diese älteren Boxen noch nicht ausschließen (wenngleich uns zu diesen
älteren FRITZ!Boxen noch keine Fälle bekannt geworden sind
). Daher empfehle
ich auch Nutzern von FRITZ!Boxen dieser Gerätegeneration, den
https-Fernzugriff zu deaktivieren, sowie die weiteren empfohlenen Maßnahmen
soweit in der betreffenden FRITZ!Box relevant, umzusetzen.


Dafür muß man AVM einfach mal ein riesenfettes Lob aussprechen.
Erstens hat man sich die Mühe gemacht ein EOL-Produkt überhaupt noch mal anzufassen, um es gegen eine aktuelle Lücke auszutesten und zweitens hat man sogar noch ein Update hinterhergeliefert.
Das würde so gut wie kein anderer Hersteller machen.

Tatsächlich scheint es aber, daß allein der zusätzliche Aufwand in diesem Fall zumindest vorerst Schutz "genug" war. Was nur zu gut beweist, daß auch Hacker faule Säcke sind.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Fritz.Box wurde gehackt

Beitragvon SpaceRat » 11.02.2014, 12:43

johnripper hat geschrieben:Ja, m.E. schon. Schau mal in deine AGBs. Du bist zur "Schadensabwehr" verpflichtet. Deswegen verstehe ich nicht warum die KBW Kunden nicht per Email informiert wurden.

In dem Punkt wäre ich ja kackendreist:

Code: Alles auswählen
An: Unitymedia/KabelBW (Unzutreffendes bitte streicheln)

Sehr geehrte Vollpfostinnen und Vollpfosten,

da ich gemäß Abschnitt B, Punkt 1.4 Ihrer AGB zum Schutz der Zugangsdaten verpflichtet bin, diese aber aufgrund aktueller Kenntnisse über Sicherheitslücken in dem von Ihnen gestellten Fritz!Box-Router als ungeschützt zu betrachten sind, fordere ich Sie hiermit auf, die vorgenannte Sicherheitslücke durch schnellstmögliches - d.h. umgehendes - Aufspielen der Ihnen nachweislich vorliegenden aktualisierten Firmware Version 06.04 zu schließen.

Das Deaktivieren des Fernzugriffs stellt hierzu keine Alternative dar, da die Gestellung einer Fritz!Box 6360 und somit auch der aus diesen bekannte Funktionsumfang zu den zugesicherten Eigenschaften meines Vertrages gehört, von denen der Fernzugriff entscheidend für den Vertragsabschluß war.

Der Erledigung der Angelegenheit sehe ich bis zum 13.3.2014 entgegen und verbleibe

Mit freundlichen Grüssen,

(Unleserliche Unterschrift)
Unity Opfer


Für DS-lite-Kunden optional frech zu ergänzen:
s/(Fernzugriff )(entscheidend)/$1 sowie der MyFritz!-Dienst - als Alternative zur DS-lite-bedingten Unmöglichkeit, ein VPN zu errichten - $2/g;
s/(abschluß war)/${1}en/g;
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Fritz.Box wurde gehackt

Beitragvon SpaceRat » 11.02.2014, 13:06

johnripper hat geschrieben:Soweit ich mich erinnern kann wurde die HTTP-Auth stets vor die Loginseite geschaltet. Möglich, dass es in noch früheren Version nur den HTTP-Auth gab. Dazu kann ich nicht sagen.

Bevor wir das noch ein paar Stunden ausdiskutieren, hier einfach der Bildbeweis, wie's wirklich war und jetzt ist:

  • Alte Box mit Basic Auth (Zweischritt-Verfahren):
    1. Schritt: Basic-Auth (Hier im IE):
      Bild
      Rot markiert: Der "realm", ausgestrichen: Die Adresse
    2. Schritt: "Lokaler" Login (Derselbe, wie bei einer lokalen Anmeldung, aber remote eben erst im 2. Schritt):
      Bild
      Erst hier ist der "Passwort vergessen"-Link verfügbar.
  • Neue Box mit Form-Login (Einschritt-Verfahren):
    Bild
    Hier gibt es gar keinen "Passwort vergessen"-Link.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Fritz.Box wurde gehackt

Beitragvon SpaceRat » 11.02.2014, 13:11

johnripper hat geschrieben:- Man musste sich zuerst mittels HTTP-Auth einloggen. Dazu konnte man in dem Menü "Fernwartung" einen Benutzernamen und ein Passwort festlegen, so wie es einem gefällt.
- Im zweiten Schritt musst man das Admin Passwort der Box auf der Login Seite die mittels HTTP/HTML dargestellt wurde eingeben.

Korrekt.
Und erst beim zweiten Schritt gab es einen "Passwort vergessen"-Link, also genau nicht ungeschützt im Internet.

johnripper hat geschrieben:Dies war zumindest so, sofern es um die Fernwartung über WAN ging.

Lokal entfällt einfach der HTTPS-Basic-Auth und man landet direkt im Formular für die Anmeldung.

johnripper hat geschrieben:Welche FW Versionen dies betraf kann ich leider nicht sagen. Auch wann dieses Feature ersatzlos gestrichen wurde weiß ich leider nicht mehr. War aber bei der 85.50.50 schon so implementiert, dass man nur noch die Loginseite erhalten hat.

Richtig.
Und auch auf der gibt es keinen "Passwort vergessen"-Link.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Fritz.Box wurde gehackt

Beitragvon eazrael » 11.02.2014, 13:17

SpaceRat hat geschrieben:
johnripper hat geschrieben:- Man musste sich zuerst mittels HTTP-Auth einloggen. Dazu konnte man in dem Menü "Fernwartung" einen Benutzernamen und ein Passwort festlegen, so wie es einem gefällt.
- Im zweiten Schritt musst man das Admin Passwort der Box auf der Login Seite die mittels HTTP/HTML dargestellt wurde eingeben.

Korrekt.
Und erst beim zweiten Schritt gab es einen "Passwort vergessen"-Link, also genau nicht ungeschützt im Internet.

Nein, die Zwei-Schritt-Authentifizierung gab es damals nur,wenn man https explizit aktivierte, was es nicht per Default war, asonsten war die Login-Seite ungeschützt aus dem Netz erreichbar. Das war auch der Grund warum ich das damals als Sicherheitslücke ansah. Es gab ein 10min (- Sync-Dauer) wo die Passwort Zurücksetz-Funktion wohl von aussen zugänglich war.

Das auch evt. ältere Modelle gepatcht werden, ist meiner Meinung nach kein Beweis, dass es auch mit der http-auth geklappt hätte. Wenn's ne gemeinse Source ist, dann kann eine Änderung einen Build/Release in allen möglichen Modellen triggern.

Hab mich nichh so richtig dafür interessiert, gibt's eigentlich ne öffentliche Beschreibung wie der Hack funktioniert, bzw welche URLs betroffen sind?
Tarif: Business 150 Internet + Phone
https://www.evilazrael.de gehostet zuhause, sogar mit IPv6 (lautet bald: sogar mit IPv4 ;))
eazrael
Kabelexperte
 
Beiträge: 236
Registriert: 18.05.2012, 21:34
Wohnort: Troisdorf

Re: Fritz.Box wurde gehackt

Beitragvon johnripper » 11.02.2014, 13:19

Cool danke. Beweist auch dass am HTTP-Auth nicht zu erkennen ist ob es sich um eine Fritzbox handelt.
Außer man verwendet den myfritz.net DyDns Dienst wodurch man es am Hostnamen erkennt.
Office & Internet 150 @ Fritz!Box 6490, OS 6.50
johnripper
Übergeordneter Verstärkerpunkt
 
Beiträge: 834
Registriert: 06.02.2014, 20:29
Wohnort: Kabelbw-Land

Re: Fritz.Box wurde gehackt

Beitragvon SpaceRat » 11.02.2014, 13:39

johnripper hat geschrieben:Cool danke. Beweist auch dass am HTTP-Auth nicht zu erkennen ist ob es sich um eine Fritzbox handelt.

Kann man sehen wie man will.
Ich habe den realm extra mal rot markiert.
Da steht zwar nicht dick und fett "Fritz!Box", aber eben "HTTPS Access" und das ist eben kein generischer Text der bei jedem HTTPS-Sever kommt, sondern etwas Spezielles.

Auch die Fehlermeldung nach Fehllogin kann man als Indiz nehmen:
Code: Alles auswählen
401 Unauthorized
ERR_ACCESS_DENIED
Webserver Tue, 11 Feb 2014 11:33:56 GMT


Bei diesem HTTPS-Server ist der realm z.B. "ANAA" und die Fehlermeldung erfolgt in XML-Form:
Code: Alles auswählen
<response __fvdSurfCanyonInserted="1">
<error id="authRequired" text="Authentifizierung erforderlich!" debug="Authentifizierung erforderlich!"/>
</response>


Bei einem E2-Receiver mit OpenWebIf lautet der Realm "OpenWebif" und als Fehlermeldung kommt nur
Code: Alles auswählen
Unauthorized

401 Authentication required

usw. usf.

Somit kann man aus realm und Fehlermeldung schon den Fingerabdruck einer Fritz!Box erkennen.

johnripper hat geschrieben:Außer man verwendet den myfritz.net DyDns Dienst wodurch man es am Hostnamen erkennt.

Den gab es damals noch nicht.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Fritz.Box wurde gehackt

Beitragvon -Pirat- » 11.02.2014, 13:59

mich wurde gerne jetzt Interessieren, wer die Rechnung beim UM zahlen muss? Bis jetzt hatte ich nix bekomme, mein Abrechnung war am 10.02.
Wie ich gehört habe, bleiben Telekom Kunden an der Rechnung sitzen.
-Pirat-
Kabelneuling
 
Beiträge: 35
Registriert: 05.03.2011, 01:56

Re: Fritz.Box wurde gehackt

Beitragvon SpaceRat » 11.02.2014, 14:11

eazrael hat geschrieben:Nein, die Zwei-Schritt-Authentifizierung gab es damals nur,wenn man https explizit aktivierte,

Richtig.

eazrael hat geschrieben:was es nicht per Default war, asonsten war die Login-Seite ungeschützt aus dem Netz erreichbar.

Falsch.
Du schaltest eben nicht https an oder aus, sondern den Fernzugriff.

eazrael hat geschrieben:Das war auch der Grund warum ich das damals als Sicherheitslücke ansah.

So. Und jetzt habe ich mir den ganzen Thread nochmal angetan und auch die verlinkten Artikel durchgelesen und erst dann wird einem überhaupt klar, worauf Du hinaus willst:
Gemeint ist der Sonderfall Business-Anschluß mit statischer IP.

Dort kam es zu einer unglücklichen Verkettung von Umständen:
Bei dieser Betriebsart ist die Firewall der Fritz!Box aus und daher das eigentlich nur lokal erreichbare HTTP-Web-Interface auch von außen erreichbar und damit hat man dann den lustigen Effekt, daß man die Fernwartung über https zwar munter ein- und ausschalten kann, die lokale Zugriffsmöglichkeit aber trotzdem immer offen bleibt. Der lokale Zugang wurde mangels Firewall also zur 2. Fernwartung ...

Das ist bzw. war zwar in der Tat ein Problem, hat aber für meine Begriffe eher mit einem Fehler in der von UM übermittelten Konfiguration zu tun statt mit der Fritz!Box:
Wenn man die Firewall der Fritz!Box abschaltet (Und das kann man nur durch direkten Eingriff in die Konfiguration, das kann also in der Häufung nur UM selber gemacht haben), dann fällt das unter "works as designed" wenn man daraufhin alles auf der Fritz!Box erreichen kann, was man ansonsten nur von intern erreichen könnte. Ich würde mal schätzen, daß man dadurch auch einen auf der Fritz!Box ggf. aktivieren Samba-Server von außen hätte erreichen können ...

Sprich: Die Fritz!Box hat dabei einfach nur genau das gemacht, was von ihr gefordert wurde.
Ich hab das auch mal gegoogelt und wirklich nur Treffer im Zusammenhang mit Unitymedia gefunden, obwohl man statische IPs z.B. auch von NetCologne kriegt oder von Alice kriegen konnte.
Vielleicht sollten die Hobby-Netzwerker bei Unitymedia wirklich mal aufhören die Kunden zu bevormunden und die Konfiguration in deren Hände legen ...
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Fritz.Box wurde gehackt

Beitragvon johnripper » 11.02.2014, 16:16

-Pirat- hat geschrieben:Wie ich gehört habe, bleiben Telekom Kunden an der Rechnung sitzen.

Ja weil die Telekom keine FBen verwaltet. UMKBW und KD sowie die anderen Kabelprovider schon.
Office & Internet 150 @ Fritz!Box 6490, OS 6.50
johnripper
Übergeordneter Verstärkerpunkt
 
Beiträge: 834
Registriert: 06.02.2014, 20:29
Wohnort: Kabelbw-Land

VorherigeNächste

Zurück zu FRITZ!Box für Kabel Internet

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 12 Gäste