Sicherheitsrisiko Fritz!Box 6360 Cable?

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Forumsregeln
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.
Antworten
eazrael
Kabelexperte
Beiträge: 237
Registriert: 18.05.2012, 21:34
Wohnort: Troisdorf
Kontaktdaten:

Sicherheitsrisiko Fritz!Box 6360 Cable?

Beitrag von eazrael » 18.05.2012, 22:39

Hallöchen,

mit der Installation der Fritz!Box heute durch den Techniker wurde der Pakt besiegelt und meine Seele gehört nun Unitymedia. So ist zumindestens mein Gefühl nach meinen ersten Eindrücken von UM. Mein gewählter Tarif ist Business 64 + Telefon mit statischer IP.
Am Unbefriedigsten ist für mich die mangelnde Dokumentation seitens UM und auch seitens AVM.

Was mich ein bisschen schockte ist allerdings das Webinterface der Fritz!Box 6360 Cable. Und zwar der Login Screen:
Die Benutzeroberfläche der FRITZ!Box ist mit einem Kennwort geschützt. Melden Sie sich mit dem Kennwort an.
Kennwort [ ]

Wenn Sie Ihr Kennwort vergessen haben, können Sie die FRITZ!Box auf die Werkseinstellungen zurücksetzen.
Das Problem wurde u.a. hier erwähnt und auch Heise hatte schon einen Artikel über die Box. Was mich ein bisschen erstaunt ist das keiner ein Problem in diesem Screen sieht.
Der Dialog ist immer vom Internet erreichbar und bietet allen die Möglichkeit die Fritz!Box in die Werkseinstellungen zurückzusetzen. Es gibt zwar einen eingebauten Schutz, diese Option ist nur die ersten 10min nach dem Booten aktiv, aber die Fritz!Box kann nach dem Einschalten schon nach 2-3 min im Internet sein, so das diese Option 7-8 min scharf ist. Natürlich könnte man jetzt sagen, das ist nur hypothetisches Risiko, aber es ist technisch kein Problem:
  • Die Unitymedia-Adressbereiche zu scannen
  • Die gefundenen Adressen per Ping zu überwachen
  • Nach einem Ausfall ein Zurücksetzen auszulösen
  • ...
Und ich kann mir gut vorstellen, dass es Leute gibt die die Box nicht 24/7 laufen lassen, Läden/kleine Büros beispielsweise.

Und ich habe keine Möglichkeit gefunden diese Funktion zu deaktivieren. Man kann zwar zusätzlich noch Fernwartung über https aktivieren, aber nicht das Standardinterface deaktivieren.

Bin ich der Einzige der diese Option mehr als kritisch sieht. Immerhin erlaubt Zugriff auf die Box auch Zugriff auf das gesamte Netz dahinter und auf ganz andere Funktionen (die ich noch nicht erforscht habe). Oder wisst ihr wie man dieses Interface oder zumindestens die Resetfunktion deaktivieren kann?


Ich hab noch ein Haufen anderer Fragen, die meisten davon betreffen Erfahrungswerte, aber die in anderes mal.
Tarif: Business 150 Internet + Phone
https://www.evilazrael.de gehostet zuhause, sogar mit IPv6 (lautet bald: sogar mit IPv4 ;))

Invisible
Übergeordneter Verstärkerpunkt
Beiträge: 939
Registriert: 27.02.2008, 22:04

Re: Sicherheitsrisiko Fritz!Box 6360 Cable?

Beitrag von Invisible » 19.05.2012, 00:05

Der Pakt mit dem Teufel ist wenn schon die FratzBüchse, nicht UM.

Tja, wer sich den Kasten ins Haus holt sollte an so etwas denken. Insbesondere wenn geschäftlich sensible Daten darüber laufen.

Helfen kann dir hier nur eine sauber konfigurierte Hardware-Firewall um das Ding wasserdicht zu machen.
Kleine Rechtschreibhilfe: Techniker, nicht Technicker; Receiver, nicht Reciver, Reseifer oder ähnliches; Fernseher, nicht Fernseh; Paket, nicht Packet

oxygen
Glasfaserstrecke
Beiträge: 1311
Registriert: 30.09.2009, 16:53

Re: Sicherheitsrisiko Fritz!Box 6360 Cable?

Beitrag von oxygen » 19.05.2012, 00:06

eazrael hat geschrieben: Und ich kann mir gut vorstellen, dass es Leute gibt die die Box nicht 24/7 laufen lassen, Läden/kleine Büros beispielsweise.
Warum sollte so jemand eine statische IP beauftragen? nur dann ist NAT standardmäßig nicht aktiv.

Telekom Entertain IP VDSL50 mit IPv6/IPv4-Dual-Stack Router: Netgear DGNB3800B
Früher: Unitymedia

eazrael
Kabelexperte
Beiträge: 237
Registriert: 18.05.2012, 21:34
Wohnort: Troisdorf
Kontaktdaten:

Re: Sicherheitsrisiko Fritz!Box 6360 Cable?

Beitrag von eazrael » 19.05.2012, 01:06

Invisible hat geschrieben:Helfen kann dir hier nur eine sauber konfigurierte Hardware-Firewall um das Ding wasserdicht zu machen.
Aha, und wo soll diese Hardware-Firewall bitte laufen? Zwischen die Fritz!Box und Unitymedia passt wohl nichts mehr..
oxygen hat geschrieben:
eazrael hat geschrieben: Und ich kann mir gut vorstellen, dass es Leute gibt die die Box nicht 24/7 laufen lassen, Läden/kleine Büros beispielsweise.
Warum sollte so jemand eine statische IP beauftragen? nur dann ist NAT standardmäßig nicht aktiv.
Weil's so verkauft worden ist? Oder nicht explizit eine dynamische verlangt worden ist?
Tarif: Business 150 Internet + Phone
https://www.evilazrael.de gehostet zuhause, sogar mit IPv6 (lautet bald: sogar mit IPv4 ;))

Invisible
Übergeordneter Verstärkerpunkt
Beiträge: 939
Registriert: 27.02.2008, 22:04

Re: Sicherheitsrisiko Fritz!Box 6360 Cable?

Beitrag von Invisible » 19.05.2012, 01:09

eazrael hat geschrieben: Aha, und wo soll diese Hardware-Firewall bitte laufen? Zwischen die Fritz!Box und Unitymedia passt wohl nichts mehr..
Ääääääähm.....schwerwiegender Denkfehler meinerseits. Stimmt da passt nichts mehr dazwischen :hammer2:

Was bin ich froh das ich das Ding nicht im Haus habe.
Kleine Rechtschreibhilfe: Techniker, nicht Technicker; Receiver, nicht Reciver, Reseifer oder ähnliches; Fernseher, nicht Fernseh; Paket, nicht Packet

Benutzeravatar
phoenixx4000
Übergabepunkt
Beiträge: 480
Registriert: 30.03.2008, 22:36
Wohnort: Geldern

Re: Sicherheitsrisiko Fritz!Box 6360 Cable?

Beitrag von phoenixx4000 » 20.05.2012, 11:38

1. Das Rücksetzen des Passworts klappt nur innerhalb weniger sekunden nach dem Neustart der Fritz Box. Das war schon immer so und wird wahrscheinlich auch immer so bleiben.

2. Die Hardware-Firewall wird grundsätzlich nicht vor der FritzBox sondern zwischen FritzBox und eigenem Netzwerk angeschlossen.

eazrael
Kabelexperte
Beiträge: 237
Registriert: 18.05.2012, 21:34
Wohnort: Troisdorf
Kontaktdaten:

Re: Sicherheitsrisiko Fritz!Box 6360 Cable?

Beitrag von eazrael » 20.05.2012, 13:49

phoenixx4000 hat geschrieben:1. Das Rücksetzen des Passworts klappt nur innerhalb weniger sekunden nach dem Neustart der Fritz Box. Das war schon immer so und wird wahrscheinlich auch immer so bleiben.
Ohne Kennwort ist die geschützte Benutzeroberfläche nicht erreichbar. Sollten Sie Ihr Kennwort vergessen haben, müssen Sie die FRITZ!Box in den Auslieferungsszustand zurücksetzen. Dafür steht Ihnen in den ersten 10 Minuten nach dem Einschalten die Option "Wiederherstellen der Werkseinstellungen" ohne Kennwort zur Verfügung.

Achtung: Dabei gehen alle Einstellungen verloren.
600 Sekunden = "Wenige sekunden"?
Tarif: Business 150 Internet + Phone
https://www.evilazrael.de gehostet zuhause, sogar mit IPv6 (lautet bald: sogar mit IPv4 ;))

piotr
Glasfaserstrecke
Beiträge: 2202
Registriert: 13.08.2008, 18:26

Re: Sicherheitsrisiko Fritz!Box 6360 Cable?

Beitrag von piotr » 20.05.2012, 15:11

eazrael hat geschrieben:
oxygen hat geschrieben:
eazrael hat geschrieben: Und ich kann mir gut vorstellen, dass es Leute gibt die die Box nicht 24/7 laufen lassen, Läden/kleine Büros beispielsweise.
Warum sollte so jemand eine statische IP beauftragen? nur dann ist NAT standardmäßig nicht aktiv.
Weil's so verkauft worden ist? Oder nicht explizit eine dynamische verlangt worden ist?
Das einfache Business Produkt hat dynamische IPs wie das Privatkunden-Produkt.
Die statische(n) IP(s) beim Business Produkt gibt es normalerweise nur auf Wunsch.

Hast Du vielleicht bei der Bestellung etwas von eigenen Servern erwaehnt, wo dann vielleicht UM darauf einging und Dir das Business mit statischer IP anbot?

eazrael
Kabelexperte
Beiträge: 237
Registriert: 18.05.2012, 21:34
Wohnort: Troisdorf
Kontaktdaten:

Re: Sicherheitsrisiko Fritz!Box 6360 Cable?

Beitrag von eazrael » 20.05.2012, 21:53

Nein die statische IP ist gewollt und die statische IP bzw die Option auf ein Subnetz war für mich der Grund einen Business Tarif zu nehmen..

Das ändert aber nix dran, dass es wohl eine Lücke von einer paar min gibt, wo dir jeder die Konfig zerschiessen kann.
Tarif: Business 150 Internet + Phone
https://www.evilazrael.de gehostet zuhause, sogar mit IPv6 (lautet bald: sogar mit IPv4 ;))

Benutzeravatar
phoenixx4000
Übergabepunkt
Beiträge: 480
Registriert: 30.03.2008, 22:36
Wohnort: Geldern

Re: Sicherheitsrisiko Fritz!Box 6360 Cable?

Beitrag von phoenixx4000 » 21.05.2012, 18:05

1.) Welchen Grund sollte man haben eine funktionierende und einwandfrei konfigurierte FBF neu zu starten?

2.) Es müsste schon sehr dumm dahergehen, wenn genau innerhalb dieses "Zeitfensters" jemand von ausserhalb die kapert. Ich glaube nicht, dass da jemand vor seinem PC sitzt und nur darauf wartet, dass Du deine FBF neu startest damit er die übernehmen kann.

3.) Was erwartest Du bei dem monatlichen Grundpreis an Hardware??? Zum einen will jeder überall dran rumspielen und alles verstellen zum anderen absolute Sicherheit. Die gibt es aber im Internet nicht. Nicht einmal mit Firewall, denn die Gröste Sicherheitslücke sitzt meist hinter dem PC im eigenen Netzwerk.
Ausserdem scheint die FBF zur Zeit das Einzige Produkt im Sortiment von UM zu sein, was den Anforderungen an den UM Business Anschluss gerecht wird. Wenn man überlegt, das es die Business Anschlüsse ja auch noch nicht soooo lange gibt, ist das, was geboten wird schon OK.

Benutzeravatar
josen
Ehrenmitglied
Beiträge: 293
Registriert: 20.11.2008, 12:54

Re: Sicherheitsrisiko Fritz!Box 6360 Cable?

Beitrag von josen » 21.05.2012, 19:59

Moin,
phoenixx4000 hat geschrieben:1.) Welchen Grund sollte man haben eine funktionierende und einwandfrei konfigurierte FBF neu zu starten?
Die startet sich auch desöfteren mal von alleine neu. Hint: Zuviele Verbindungen. Nun soll es ja Möglichkeiten geben, zu einem offenen Port von außen viele Verbindungen zu öffnen ;-)
phoenixx4000 hat geschrieben: 2.) Es müsste schon sehr dumm dahergehen, wenn genau innerhalb dieses "Zeitfensters" jemand von ausserhalb die kapert. Ich glaube nicht, dass da jemand vor seinem PC sitzt und nur darauf wartet, dass Du deine FBF neu startest damit er die übernehmen kann.
Das ist mit simpelsten Shellskripten möglich. Es gibt einen Portscanner, der über die speziellen Eigenschaften der Antworten auf TCP-Pakete die Uptime der Fritz!Box schnellstens ermitteln kann. Wenn die unter 10 Minuten ist, greift ein anderes Skript.

Mit deinem dritten Punkt triffst du voll ins schwarze. Unitymedia ist einfach sehr sehr günstig. Das sollte man UM auf jedenfall zugute halten.

Was diese Sicherheitsprobleme von eazrael angeht, habe ich am 19.04.2012 Unitymedia einen vollständigen Bericht über alle im Business Tarif mit Fritz!Box + statische IP enthaltenen Schwachstellen und Sicherheitslücken geschickt. Ich arbeite freiberuflich als Pentester und hab meine eigene Fritz!Box mal unter Beschuss genommen und einiges gefunden. Mehr darf ich dazu nicht sagen.

Grüße

sebr
Übergeordneter Verstärkerpunkt
Beiträge: 627
Registriert: 27.04.2011, 15:27
Wohnort: Nidda

Re: Sicherheitsrisiko Fritz!Box 6360 Cable?

Beitrag von sebr » 21.05.2012, 20:37

Würde mich wundern wenn da UM oder AVM darauf reagiert oder gar etwas ändert, das sind zumindest meine Erfahrungen. Wahrscheinlich sind die zu beschäftigt sich neue Tarife auszudenken bzw. irgendwelche unnötige Spielereien in die Boxen zu quetschen anstatt sich mal um elmentare Dinge kümmern :D
Da werden sich vor dir auch sicher schon andere dran versucht haben der Box mal näher auf den Zahn zu fühlen zumal der Quellcode ja auch frei zugänglich ist. In diversen Newsgroups und Foren gibts schon was zu lesen in diese Richtung...
Aber: wer die 6360 ausgewählt hat ist selber Schuld. Die Probleme und Nachteile die mit dieser Box einhergehen sind weit bekannt. Besser: Kabelmodem + Router + VoIP-Telefonanlage und mit den Rufnummern zu Sipgate o.ä.. Und gerade wer seinen Anschluss auch geschäftlich nutzt sollte lieber etwas mehr ausgeben.
Office Internet & Phone 50
Hardware:
Fritz!Box 6490 Cable (UM) FW: FRITZ!OS 06.50

Benutzeravatar
josen
Ehrenmitglied
Beiträge: 293
Registriert: 20.11.2008, 12:54

Re: Sicherheitsrisiko Fritz!Box 6360 Cable?

Beitrag von josen » 21.05.2012, 20:53

Moin,

wenn du jemanden kennst, auf ein Pläuschchen hab ich immer Lust :)
Bei mir ist das nun nicht so das Problem, die Fritze und der Rest vor meiner Firewall hängt auf einem Mirror-Port und der wird interessiert von NTop und Snort beäugt.

Naja, wenn ich die Wahl hätte, würde ich für einen von UM gemanagten Cisco Router mit VoIP oder vernünftige Einstellungen auf der FritzBox nochmal 100 Euro locker machen.

Grüße

eazrael
Kabelexperte
Beiträge: 237
Registriert: 18.05.2012, 21:34
Wohnort: Troisdorf
Kontaktdaten:

Re: Sicherheitsrisiko Fritz!Box 6360 Cable?

Beitrag von eazrael » 21.05.2012, 22:27

josen hat geschrieben: Was diese Sicherheitsprobleme von eazrael angeht, habe ich am 19.04.2012 Unitymedia einen vollständigen Bericht über alle im Business Tarif mit Fritz!Box + statische IP enthaltenen Schwachstellen und Sicherheitslücken geschickt. Ich arbeite freiberuflich als Pentester und hab meine eigene Fritz!Box mal unter Beschuss genommen und einiges gefunden. Mehr darf ich dazu nicht sagen.
Ist überhaupt was passiert?

Kollege meinte dazu nur, das man sowas am besten direkt an Heise schreibt. Klar, ohne Full Disclosure passiert in der Wirtschaft ja sonst nix. Und selbst wenn die Lücke für einige eher theoretischer Natur ist, ist es immer noch eine Lücke die einem sofort auffallen sollte. Und um so mehr Businesskunden es gibt, umso interessanter wird sie.

Nachtrag:
Naja Geld locker machen.. mir würde es reichen, wenn man diese Option deaktivieren könnte. Oder andersweitig entschärfen. Und wenn du noch mehr Lücken gefunden hast, dann fühl ich mich irgendwie noch unsicherer.
Tarif: Business 150 Internet + Phone
https://www.evilazrael.de gehostet zuhause, sogar mit IPv6 (lautet bald: sogar mit IPv4 ;))

Antworten

Wer ist online?

Mitglieder in diesem Forum: rv112, Sacrosanct und 5 Gäste