- Anzeige -

Fritz!Box gehackt und für Telefongespräche missbraucht

In diesem Forum geht es um die Router für Kabel Internet FRITZ!Box 6320, FRITZ!Box 6340, FRITZ!Box 6360 und FRITZ!Box 6490 der Firma AVM.

Fritz!Box gehackt und für Telefongespräche missbraucht

Beitragvon eazrael » 29.06.2015, 00:57

Warum muss so eine [zensiert] immer Sonntags passieren :( Und irgendwie peinlich ist es mir auch :(

Anscheinend hat sich jemand heute morgen gegen 5 aus Ägypten auf meiner Fritz!Box 6360 eingeloggt und umkonfiguriert und ein neues VoIP Telefoniegerät angelegt:
Code: Alles auswählen
28.06.15 21:03:36 Anmeldung des Benutzers xxx an der FRITZ!Box Benutzeroberfläche von IP-Adresse 105.202.101.12.
28.06.15 05:21:05 Die FRITZ!Box-Einstellungen wurden über die Benutzeroberfläche geändert.
28.06.15 05:19:46 Anmeldung des Benutzers xxx an der FRITZ!Box Benutzeroberfläche von IP-Adresse 105.202.36.200.


und dann wurde von Dubai aus (5.135.199.2) mehrmals in Litauen angerufen:
Code: Alles auswählen
28.06.15 21:59:52 Internettelefonie mit 0037254149012@ssl43.telefon.unitymedia.de über ssl43.telefon.unitymedia.de war nicht erfolgreich. Ursache: Address Incomplete (484)

Nach den Gesprächsdauern zu urteilen gab's auch einige erfolgreiche Gespräche.

Password und Accounts habe ich direkt geändert, das neue Telefoniegerät gelöscht und bin durch alle Dialoge durch und hab mir die Configs angeschaut.

Jetzt frag ich mich natürlich wie konnte das passieren? Mein verwendetes Password ist sehr sicher und wird nur intern auf 2 Geräten (das ich auch direkt überprüft habe) verwendet. Die meisten Fritz!Box Dienste sind ausgeschaltet, die Fritz!Box fungiert nur als reiner Internet Gateway (Business Tarif + feste IP, also nichtmals als Router) und halt als notwendige Telefonzentrale. Router steht dahinter. Hätte der Angreifer die tägliche Statusmail auch abgeschaltet, wäre mir das vermutlich gar nicht aufgefallen.

Ich hab mal gegoogelt und diese 1 Jahre alte "Kurz notiert Meldung von AVM gefunden: Sicherheitshinweis: mutmaßlicher Telefonmissbrauch. AVM schreibt da was von einer Liste mit geklauten Identitäten. Das halte ich bei mir nicht für zutreffend. Wie gesagt, die Accountdaten wurden nur intern verwendet. Und eine E-Mail war mit dem Account in der Fritz!Box gar nicht eingetragen.

Irgendwie weiß ich gerade so nicht weiter. Hat jemand Tipps oder Hinweise was ich noch machen kann und/oder überprüfen sollte? Sollte ich mich mal an AVM wenden, oder bringt das nix? Oder hab ich was falsch gemacht?

Bitte um Kommentare

Nachtrag: Seufz, wenn*'s nicht verspätet diese Sache ist :( http://www.heise.de/newsticker/meldung/ ... 15745.html
Tarif: Business 150 Internet + Phone
https://www.evilazrael.de gehostet zuhause, sogar mit IPv6 (lautet bald: sogar mit IPv4 ;))
eazrael
Kabelexperte
 
Beiträge: 236
Registriert: 18.05.2012, 21:34
Wohnort: Troisdorf

Re: Fritz!Box gehackt und für Telefongespräche missbraucht

Beitragvon tq1199 » 30.06.2015, 10:00

eazrael hat geschrieben:... auf 2 Geräten (das ich auch direkt überprüft habe) verwendet.

Welches Betriebssystem hast Du auf diesen 2 Geräten?
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note
tq1199
Glasfaserstrecke
 
Beiträge: 1276
Registriert: 07.02.2014, 10:05

Re: Fritz!Box gehackt und für Telefongespräche missbraucht

Beitragvon eazrael » 02.07.2015, 22:45

Öhm, das eine ist die Fritz!Box, das andere ist Linux.

Naja, für mich ist die Sache gegessen. Es waren "nur" 50€ Schaden.

Meiner Meinung nach war es der oben verlinkte "Fritz!Box Hack". Wenn Heise recht hatte und das absaugen des Passwort ohne Authentifizierung möglich war, dann geb ich Unitymedia mindestens 10% Mitschuld. Bis das FW-Update eingespielt war, hätte eine Passwortänderung nur dazu geführt, dass das neue Passwort geklaut wurde. Laut meinen Unterlagen hat Unitymedia bei mir (Business 64 Tarif) das Update im August eingespielt. Da hab ich dann natürlich nicht mehr dran gedacht das Passwort zu ändern. Wäre die FB unter meiner Kontrolle, hätte ich das Update direkt bei Verfügbarkeit eingespielt.
Tarif: Business 150 Internet + Phone
https://www.evilazrael.de gehostet zuhause, sogar mit IPv6 (lautet bald: sogar mit IPv4 ;))
eazrael
Kabelexperte
 
Beiträge: 236
Registriert: 18.05.2012, 21:34
Wohnort: Troisdorf

Re: Fritz!Box gehackt und für Telefongespräche missbraucht

Beitragvon Joerg » 02.07.2015, 23:14

Ich habe seit dem o.g. Hack den Zugang zur Adminoberfläche der FB von aussen deaktiviert. Das Risiko überwiegt hier m.E. sehr deutlich gegenüber dem Nutzen, insbesondere da Informationen über eingehende Anrufe und auch Anrufbeantworter-Aufnahmen sowie per Mail auf meinem Handy landen.

Jörg
Joerg
Übergeordneter Verstärkerpunkt
 
Beiträge: 824
Registriert: 22.09.2007, 19:24
Wohnort: NRW

Re: Fritz!Box gehackt und für Telefongespräche missbraucht

Beitragvon hajodele » 03.07.2015, 10:18

@ezrael:
Das Sicherheitsupdate, um das es ging war die 6.03, die Mitte Februar veröffentlicht wurde. Zugegebenermassen hat UM auch hier die rote Laterne getragen.
Die 6.04, die im August herauskam, hatte damit nichts zu tun.
Wenn du das Passwort nach dem Aufspielen der 6.03 geändert hast, ist zumindest dieser Weg sicher. Genau so wurde es von AVM, UM und vielen Fachzeitschriften propagiert.

P.S.
Ich bin für 3 Fritzboxen zuständig und habe seither die Passwörter im August (nach der 6.04) und einer Tarifänderung im Januar (bei der es auch einen Werksreset gab) geändert.
Ein externer Zugriff ist für mich dringend erforderlich. Bei meiner Mutter gibt es nicht mal einen angeschlossenen PC.
hajodele
Kabelkopfstation
 
Beiträge: 3966
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: Fritz!Box gehackt und für Telefongespräche missbraucht

Beitragvon Leseratte10 » 03.07.2015, 11:31

Kann man die VoIP-Passwörter bei Unitymedia überhaupt ändern?
Leseratte10
Glasfaserstrecke
 
Beiträge: 1275
Registriert: 07.03.2013, 16:56

Re: Fritz!Box gehackt und für Telefongespräche missbraucht

Beitragvon hajodele » 03.07.2015, 11:50

Leseratte10 hat geschrieben:Kann man die VoIP-Passwörter bei Unitymedia überhaupt ändern?

Meines Wissens nach nicht. Bei EX-Kabelbw kommt man nicht mal rann.
Der Weg lief damals auch so, dass die Fritzbox übernommen und dann von dort aus telefoniert wurde.
Ich habe mir übrigens damals gleich eine Ausgehende Telefonsperre bei Kabelbw einrichten lassen, die alle kostenpflichtigen Gespräche umfasste.
Ausland und Mobilfunk gehen bei mir einen anderen Weg. Im theoretischen Maximalfall bin ich 10 Euro los.
hajodele
Kabelkopfstation
 
Beiträge: 3966
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: Fritz!Box gehackt und für Telefongespräche missbraucht

Beitragvon eazrael » 03.07.2015, 14:36

Ich hab gerade mal nachgeschaut. Das Update auf die 85.06.03 muss mir entgangen sein, weil UM dieses nicht wie sonst üblich per EMail und Brief angekündigt hatte. Eingespielt wurde es am 27.02.2014. Also Ende Februar.

Ich brauch den Remotezugang leider, da ich häufig nicht zu hause bin.
Tarif: Business 150 Internet + Phone
https://www.evilazrael.de gehostet zuhause, sogar mit IPv6 (lautet bald: sogar mit IPv4 ;))
eazrael
Kabelexperte
 
Beiträge: 236
Registriert: 18.05.2012, 21:34
Wohnort: Troisdorf

Re: Fritz!Box gehackt und für Telefongespräche missbraucht

Beitragvon albatros » 03.07.2015, 18:01

Wenn Du die 85.06.03 auf der Box hast, solltest Du vor dem Hack aus 2013 eigentlich sicher sein.
Möglicherweise wurden die Zugansgdaten ausgelesen, weil sich jemand zwischen Dein externes Gerät und Deine FB gehängt hat.
Grundsätzlich sollte man auf der FB nur das für den Fernzugriff freigeben, was man auch benötigt.
Gerade wenn man aus fremden, offenen WLANs, zugreift, sollte man über ein VPN gehen. Wenn das nicht möglich ist, einen Benutzer verwenden, der nicht auf die Einstellungen zugreifen darf. Falls man gelegentlich doch Zugriff auf Einstellungen benötigt, dafür einen anderen Benutzer verwenden.
Passwörter der Benutzer häufig ändern.
Das Registrieren von SIP-Telefonen aus dem Internet sollte man nur zulassen, wenn man es auch wirklich benötigt.
Unitymedia 3Play 100 - Telefon komfort
FritzBox 6360
Horizon Recorder + HD-Option
albatros
Übergeordneter Verstärkerpunkt
 
Beiträge: 988
Registriert: 21.01.2009, 18:49

Re: Fritz!Box gehackt und für Telefongespräche missbraucht

Beitragvon GoaSkin » 04.07.2015, 11:25

Wer eh nicht ins Ausland telefoniert: Man kann bei Unitymedia eine Sperre für Ausland und/oder 0900/013x einrichten lassen. Dann wären auch im Falle eines Hacks die Kosten begrenzt.
Es gibt drei Fleischsorten: Beef, Chicken und Veggie. Von welchem Tier die kommen? Von garkeinem, sondern aus der Packung.
GoaSkin
Glasfaserstrecke
 
Beiträge: 1096
Registriert: 12.12.2009, 17:25

Nächste

Zurück zu FRITZ!Box für Kabel Internet

Wer ist online?

Mitglieder in diesem Forum: Baidu [Spider] und 7 Gäste