Fritz.Box wurde gehackt

In diesem Forum geht es um die Router für Kabel Internet FRITZ!Box 6320, FRITZ!Box 6340, FRITZ!Box 6360, FRITZ!Box 6490 & FRITZ!Box 6590 Cable der Firma AVM.
CarNie
Übergabepunkt
Beiträge: 294
Registriert: 15.05.2011, 12:40

Re: Fritz.Box wurde gehackt

Beitrag von CarNie » 10.02.2014, 17:16

blaxxz hat geschrieben:Wurden die UM Kunden eigentlich per eMail oder schriftlich bezüglich diesen hacks informiert?

Ich habe bis dato nix erhalten.
Ich habe auch nichts bekommen. Weder per Mail, noch schriftlich. Und ja, im Spam Ordner habe ich auch nachgesehen.

nick99cgn
Übergeordneter Verstärkerpunkt
Beiträge: 661
Registriert: 21.03.2007, 14:25
Wohnort: 50xxx Köln

Re: Fritz.Box wurde gehackt

Beitrag von nick99cgn » 10.02.2014, 17:53

CarNie hat geschrieben:
blaxxz hat geschrieben:Wurden die UM Kunden eigentlich per eMail oder schriftlich bezüglich diesen hacks informiert?

Ich habe bis dato nix erhalten.
Ich habe auch nichts bekommen. Weder per Mail, noch schriftlich. Und ja, im Spam Ordner habe ich auch nachgesehen.
Ich habe eine Infomail von Unitymedia am 07.02.2014 mit dem Betreff
"Wichtiger Sicherheitshinweis zu Ihrer FRITZ!Box von Unitymedia"erhalten.
3play PREMUIM 200:
Horizon HD Recorder V2 / DigitalTV ALLSTARS + HD Option + Sky komplett Paket

2play Max400:
Connect Box

tq1199
Glasfaserstrecke
Beiträge: 1816
Registriert: 07.02.2014, 09:05

Re: Fritz.Box wurde gehackt

Beitrag von tq1199 » 10.02.2014, 18:09

nick99cgn hat geschrieben: Ich habe eine Infomail von Unitymedia am 07.02.2014 mit dem Betreff
"Wichtiger Sicherheitshinweis zu Ihrer FRITZ!Box von Unitymedia"erhalten.
OK, ... welchen Tarif und welche FritzBox hast Du bei bzw. von Unitymedia?

nick99cgn
Übergeordneter Verstärkerpunkt
Beiträge: 661
Registriert: 21.03.2007, 14:25
Wohnort: 50xxx Köln

Re: Fritz.Box wurde gehackt

Beitrag von nick99cgn » 10.02.2014, 19:20

tq1199 hat geschrieben:
nick99cgn hat geschrieben: Ich habe eine Infomail von Unitymedia am 07.02.2014 mit dem Betreff
"Wichtiger Sicherheitshinweis zu Ihrer FRITZ!Box von Unitymedia"erhalten.
OK, ... welchen Tarif und welche FritzBox hast Du bei bzw. von Unitymedia?
3play 32000 mit Telefon Komfort Option.
3play PREMUIM 200:
Horizon HD Recorder V2 / DigitalTV ALLSTARS + HD Option + Sky komplett Paket

2play Max400:
Connect Box

Benutzeravatar
Dr.Wahn
Kabelexperte
Beiträge: 225
Registriert: 15.08.2008, 13:23
Wohnort: Gladbeck

Re: Fritz.Box wurde gehackt

Beitrag von Dr.Wahn » 10.02.2014, 19:53

Ich habe ebenfalls eine Infomail von UM bekommen 3 Play 100 Tel Plus.
Bild

Bild


HD UM Ci+ Modul, Horizon, 2*Sky Plus UHD Receiver, Dreambox 7020 HD, Dreambox 800se

sebr
Übergeordneter Verstärkerpunkt
Beiträge: 627
Registriert: 27.04.2011, 15:27
Wohnort: Nidda

Re: Fritz.Box wurde gehackt

Beitrag von sebr » 10.02.2014, 19:56

Hier nichts von UM angekommen (3play 50.000).
Es kam auch keine Info vor dem Rollout von 6.00.
Office Internet & Phone 50
Hardware:
Fritz!Box 6490 Cable (UM) FW: FRITZ!OS 06.50

M@rtin
Übergeordneter Verstärkerpunkt
Beiträge: 572
Registriert: 27.05.2013, 19:38

Re: Fritz.Box wurde gehackt

Beitrag von M@rtin » 10.02.2014, 20:27

Ich habe auch eine Mail am Freitag Abend des 7.2. erhalten (2 Play 50):
http://www.unitynews.de/u/gm.php?UID=ZJ ... 64189_3849

-Pirat-
Kabelneuling
Beiträge: 35
Registriert: 05.03.2011, 00:56

Re: Fritz.Box wurde gehackt

Beitrag von -Pirat- » 10.02.2014, 22:30

blaxxz hat geschrieben:Wurden die UM Kunden eigentlich per eMail oder schriftlich bezüglich diesen hacks informiert?

Ich habe bis dato nix erhalten.
mich hat UM am zweiten Tag angerufen und mir das mit geteilt und auch gleich am Telefon mit mir alles durch gegangen, was ich bei der FritzBox ändern soll.
Das war klasse Service :super: Respekt.

Der Mitarbeiter sagte mir am Telefon, dass nicht alle Kunden tel. erreichbar waren.

tq1199
Glasfaserstrecke
Beiträge: 1816
Registriert: 07.02.2014, 09:05

Re: Fritz.Box wurde gehackt

Beitrag von tq1199 » 10.02.2014, 22:48

-Pirat- hat geschrieben: Der Mitarbeiter sagte mir am Telefon, dass nicht alle Kunden tel. erreichbar waren.
Ich denke, der Mitarbeiter meinte mit "alle Kunden", die Kunden deren FritzBox zu dem Zeitpunkt gehackt (angegriffen) worden ist und nicht alle Kunden von UMKBW, die eine FritzBox (vom Provider) haben.
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note

Benutzeravatar
sofa-schlaffi
Kabelneuling
Beiträge: 33
Registriert: 15.09.2010, 20:10
Wohnort: Willich

Re: Fritz.Box wurde gehackt

Beitrag von sofa-schlaffi » 10.02.2014, 23:04

Auch ich bin heute UM um 17:15 Uhr von UM angerufen worden. Leider ware ich nicht zuhause, doch der Anrufer hat mir eine Nachricht auf dem AB hinterlassen, mit der Bitte, die Seite von AVM zu besuchen und den Anweisungen zu folgen. Außerdem wurden vorsichtshalber abgehende Telefonanrufe in Ausland gesperrt. Meine FRITZ!Box war und ist definitiv nicht "gehackt" und trotzdem wurde ich angefrufen. Toller Service!
Bild Bild
Provider: Telekom
Router: FRITZ!Box 7490 mit FRITZ!OS 06.20
Telefone: 2 * FRITZ!Fon C4 u. 1* Gigaset S68H
PC: FTS Q5030 (Win8.1 Pro x64), ThinkPad SL510 (Win7 x64), ThinkPad E531 (Win8.1 Pro x64), Thinkpad Edge E135 (Win7 x64), Thinkpad Edge E135 (Win8.1 x64), WHS2011, Xbox-360, PS3, Wii U
vom 24.10.2010 bis 23.10.2014 UM Business 64.0000, seit 23.10.2014 Telekom Call & Surf Comfort IP (Speed) mit VDSL 50

tq1199
Glasfaserstrecke
Beiträge: 1816
Registriert: 07.02.2014, 09:05

Re: Fritz.Box wurde gehackt

Beitrag von tq1199 » 10.02.2014, 23:26

sofa-schlaffi hat geschrieben:Außerdem wurden vorsichtshalber abgehende Telefonanrufe in Ausland gesperrt. Meine FRITZ!Box war und ist definitiv nicht "gehackt" und trotzdem wurde ich angefrufen. Toller Service!
Mit deiner FritzBox ist etwas nicht in Ordnung, wenn abgehende Anrufe ins Ausland gesperrt worden sind.
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note

eazrael
Kabelexperte
Beiträge: 237
Registriert: 18.05.2012, 21:34
Wohnort: Troisdorf
Kontaktdaten:

Re: Fritz.Box wurde gehackt

Beitrag von eazrael » 11.02.2014, 00:25

Business 64 + Telefon. Auch keine Benachrichtigung bekommen. Dafür Spam von ner Unitymedia-Adresse.
Tarif: Business 150 Internet + Phone
https://www.evilazrael.de gehostet zuhause, sogar mit IPv6 (lautet bald: sogar mit IPv4 ;))

eazrael
Kabelexperte
Beiträge: 237
Registriert: 18.05.2012, 21:34
Wohnort: Troisdorf
Kontaktdaten:

Re: Fritz.Box wurde gehackt

Beitrag von eazrael » 11.02.2014, 00:28

Blöde Frage, war der Fernzugriff nicht ne Zeitlang über http-Authentifizierung gesichert?
Tarif: Business 150 Internet + Phone
https://www.evilazrael.de gehostet zuhause, sogar mit IPv6 (lautet bald: sogar mit IPv4 ;))

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritz.Box wurde gehackt

Beitrag von SpaceRat » 11.02.2014, 07:39

eazrael hat geschrieben:Blöde Frage, war der Fernzugriff nicht ne Zeitlang über http-Authentifizierung gesichert?
War er immer, sogar https.

Es gab aber eben eine Sicherheitslücke (Sprich: Einen Programmierfehler) in der Firmware bzw. dieser Komponente, über die man an die notwendigen Daten für den Login kommen konnte, bzw. bei den Unitymedia-Boxen immer noch kann.

Und statt heute noch Kunden anzurufen hätte Unitymedia besser die korrigierte Firmware ausgerollt. Mieser Service.

hajodele
Kabelkopfstation
Beiträge: 4820
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: Fritz.Box wurde gehackt

Beitrag von hajodele » 11.02.2014, 07:41

eazrael hat geschrieben:Blöde Frage, war der Fernzugriff nicht ne Zeitlang über http-Authentifizierung gesichert?
JEIN - HTTPS ist und war schon immer standardmäßig aktiviert. Allerdings ist es nur ein Haken und schon ist das "S" weg.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritz.Box wurde gehackt

Beitrag von SpaceRat » 11.02.2014, 08:24

hajodele hat geschrieben:
eazrael hat geschrieben:Blöde Frage, war der Fernzugriff nicht ne Zeitlang über http-Authentifizierung gesichert?
JEIN - HTTPS ist und war schon immer standardmäßig aktiviert. Allerdings ist es nur ein Haken und schon ist das "S" weg.
Blödsinn:

Der "HTTPS-Fernzugang" ist standardmäßig schon immer aus gewesen.
Er kann auch nur als solcher aktiviert werden, also entweder ist die Fritz!Box per https fernwartbar oder gar nicht, per http ging das noch nie.

Was unabhängig vom HTTPS-Fernzugang geht, ist die Konfiguration der Fritz!Box durch ein bestehendes VPN hindurch.
D.h. wenn ein VPN zu einer Fritz!Box besteht, dann ist diese durch den VPN-Tunnel hindurch unter ihrer lokalen IPv4-Adresse auch per http erreichbar, was aber auch keine große Überraschung ist, denn ein VPN stellt ja eben eine Intranet-Verbindung dar und keine Internet-Verbindung,
Das ist aber eine völlig andere Baustelle, weil es sich eben nicht um einen Fernzugang handelt.

johnripper
Glasfaserstrecke
Beiträge: 1294
Registriert: 06.02.2014, 19:29
Wohnort: Kabelbw-Land

Re: Fritz.Box wurde gehackt

Beitrag von johnripper » 11.02.2014, 09:12

eazrael hat geschrieben:Blöde Frage, war der Fernzugriff nicht ne Zeitlang über http-Authentifizierung gesichert?
Ich glaube du meinst die Möglichkeit von HTTP-AUTH.

Ja die gab es mal, diese hat man aber einfach rausgenommen aber der FW 5.50 (glaube, nicht sicher). Schade, denn mit dieser Funktion wäre auch sowas wie "site:myfritz.net" oder "site:superkabel.de" nicht möglich gewesen.
Office & Internet 150 @ Fritz!Box 6490, OS 6.50

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritz.Box wurde gehackt

Beitrag von SpaceRat » 11.02.2014, 09:22

johnripper hat geschrieben:Ja die gab es mal, diese hat man aber einfach rausgenommen aber der FW 5.50 (glaube, nicht sicher). Schade, denn mit dieser Funktion wäre auch sowas wie "site:myfritz.net" oder "site:superkabel.de" nicht möglich gewesen.
Wer's nicht kapiert, was johnripper meint:
site:myfritz.net
site:superkabel.de

Aus dem Grunde hat nach dem St.-Floriansprinzip beim aktuellen Hack auch schon gewonnen, wer den Port für die Fernwartung auf einen nicht-standardmäßigen verlegt hat.
Zu hacken sind Fritten mit Nicht-Standard-Port genauso, aber wozu nach Fritz!Boxen auf Non-Standard-Port suchen, wenn man so viele auf Standard-Port auf dem goldenen Tablett serviert bekommt?

johnripper
Glasfaserstrecke
Beiträge: 1294
Registriert: 06.02.2014, 19:29
Wohnort: Kabelbw-Land

Re: Fritz.Box wurde gehackt

Beitrag von johnripper » 11.02.2014, 09:40

SpaceRat hat geschrieben:Zu hacken sind Fritten mit Nicht-Standard-Port genauso, aber wozu nach Fritz!Boxen auf Non-Standard-Port suchen, wenn man so viele auf Standard-Port auf dem goldenen Tablett serviert bekommt?
Ja richtig.
Ich hatte die FB auf dem Port 450 offen. Zum Zeitpunkt des öffnen des Fernzugangs (Version 5.50 oder früher) war nur eine Portrange bis 450 möglich, den ich dann insoweit ausgenutzt habe. Diese Beschränkung ist dann irgendwann mit OS 5.50+ (??) entfallen.

Insofern hat diese "security by obscurity"-Maßnahme doch etwas gebracht: Vor mir hat es einfach andere getroffen.
Office & Internet 150 @ Fritz!Box 6490, OS 6.50

tq1199
Glasfaserstrecke
Beiträge: 1816
Registriert: 07.02.2014, 09:05

Re: Fritz.Box wurde gehackt

Beitrag von tq1199 » 11.02.2014, 09:49

johnripper hat geschrieben: Insofern hat diese "security by obscurity"-Maßnahme doch etwas gebracht: Vor mir hat es einfach andere getroffen.
Betr. den Angriff ja, aber nicht was das Finden der ext. IP-Adresse im internet mit "site:myfritz.net" betrifft. Denn im Internet werden mit "site:myfritz.net" auch FritzBoxen angzeigt, die weder auf Port 80 noch auf Port 443 lauschen, sondern z. B. auf Port 81 oder 85 oder irgend ein anderer Port. OK, diese im Internet gefundene Boxen können dann auch nicht gekackt werden, weil sie ja auf Port 443 bzw. auf einem anderen Port mit dem Dienst der für den Port 443 vorgesehen ist, nicht lauschen.
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritz.Box wurde gehackt

Beitrag von SpaceRat » 11.02.2014, 09:52

johnripper hat geschrieben:Ich hatte die FB auf dem Port 450 offen. Zum Zeitpunkt des öffnen des Fernzugangs (Version 5.50 oder früher) war nur eine Portrange bis 450 möglich, den ich dann insoweit ausgenutzt habe. Diese Beschränkung ist dann irgendwann mit OS 5.50+ (??) entfallen.

Insofern hat diese "security by obscurity"-Maßnahme doch etwas gebracht: Vor mir hat es einfach andere getroffen.
"security by obscurity" hat versagt: Der https-Teil ist closed source, was unter "security by obscurity" fällt.

Der Non-Standard-Port ist klassisches St.-Florian-Prinzip:
Heiliger St. Florian,
verschon' mein Haus, zünd' and're an!

Lenkradkrallen sind bzw. waren z.B. auch St.-Florian-Prinzip:
Wer dieses Auto will, der kriegt es auch. Aber wenn es nur darum geht, irgendein Fahrzeug für eine Fahrt zu erbeuten (Vollasi hat mal wieder den Bus verpaßt), dann ist die Lenkradkralle zumindest lästig genug, damit der Täter zum Auto daneben ohne Lenkradkralle greift.

johnripper
Glasfaserstrecke
Beiträge: 1294
Registriert: 06.02.2014, 19:29
Wohnort: Kabelbw-Land

Re: Fritz.Box wurde gehackt

Beitrag von johnripper » 11.02.2014, 10:04

tq1199 hat geschrieben:OK, diese im Internet gefundene Boxen können dann auch nicht gekackt werden, weil sie ja auf Port 443 bzw. auf einem anderen Port mit dem Dienst der für den Port 443 vorgesehen ist, nicht lauschen.
Der Fehler lag nicht in dem Protokoll 443 selbst, sondern im Fernzugang. Auf welchen Port der läuft dürfte m.E. ziemlich egal sein. Diesbezüglich ist die Pressemitteilung von AVM etwas ungenau. Aber AVM hat ja schon immer versucht komplizierte technische Begrifflichkeiten zu vermeiden (was es für mir immer schwierig macht zu verstehen, was sie genau meinen).

Da es vermutlich Portscans waren und weniger die öffentlich findbaren Boxen hatte man (sofern man sich nicht googeln lässt) einfach glück.
Office & Internet 150 @ Fritz!Box 6490, OS 6.50

johnripper
Glasfaserstrecke
Beiträge: 1294
Registriert: 06.02.2014, 19:29
Wohnort: Kabelbw-Land

Re: Fritz.Box wurde gehackt

Beitrag von johnripper » 11.02.2014, 10:12

SpaceRat hat geschrieben:
johnripper hat geschrieben:Ich hatte die FB auf dem Port 450 offen. Zum Zeitpunkt des öffnen des Fernzugangs (Version 5.50 oder früher) war nur eine Portrange bis 450 möglich, den ich dann insoweit ausgenutzt habe. Diese Beschränkung ist dann irgendwann mit OS 5.50+ (??) entfallen.

Insofern hat diese "security by obscurity"-Maßnahme doch etwas gebracht: Vor mir hat es einfach andere getroffen.
"security by obscurity" hat versagt: Der https-Teil ist closed source, was unter "security by obscurity" fällt.
Was den Dienst angeht haste Recht.

Was das auffinden angeht, sehe ich das anders. Ich glaube kaum, dass die Ressourcen gehabt hätten für jede IP den vollen Portbereich zu scannen. Zumal dies wahrscheinlich aufgefallen wäre. Insofern hat es sehr gut funktioniert.

Im übrigen gebe ich dir natürlich recht, auch wenn ich das Prinzip erst mal googlen musste : )
Office & Internet 150 @ Fritz!Box 6490, OS 6.50

tq1199
Glasfaserstrecke
Beiträge: 1816
Registriert: 07.02.2014, 09:05

Re: Fritz.Box wurde gehackt

Beitrag von tq1199 » 11.02.2014, 10:16

johnripper hat geschrieben: Der Fehler lag nicht in dem Protokoll 443 selbst, ...
Du meinst das HTTPS-Protokoll. Nein, das wurde nicht gehackt, dieses Protokoll ist auch nicht "closed source". Es geht um einen Dienst (closed source), für den AVM standardmäßig den Port 443, als Port zum lauschen vorgesehen hat und der mit dem HTTPS-Protokoll erreicht werden soll.
Zuletzt geändert von tq1199 am 11.02.2014, 10:18, insgesamt 1-mal geändert.
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note

eazrael
Kabelexperte
Beiträge: 237
Registriert: 18.05.2012, 21:34
Wohnort: Troisdorf
Kontaktdaten:

Re: Fritz.Box wurde gehackt

Beitrag von eazrael » 11.02.2014, 10:16

johntheripper hat verstanden, was ich meinte. Wie würdet ihr denn die jetzige web-basierte Application-Authentifizierung nennen?

Die Fernwartung mit der vorgeschalteten HTTP-Authentifizierung wäre doch vermutlich gegen den Remote-Angriff immun gewesen, sofern die kritischen Skripte nicht von der Auth ausgenommen waren. Sofern sollte man doch die verwundbaren ziemlich hart eingrenzen können. Was uns Zwangsrouter-Nutzern natürlich eh nix hilft, da wir auf Gedeih und Verderben UM ausgeliefert sind.

Das wäre doch auch eine interssante Haftungsfrage. Bin ich verpflichtet die Fernwartung abzuschalten bis sich UM bequemt den Fix auszurollen oder haftet UM für den Missbrauch, weil die Config eigentlich deren Domäne fällt und sie den Fix nicht zeitnah ausgerollt haben?

Vor 2 Jahren gab's dann schon mal diese Lücke hiier:
http://www.unitymediakabelbwforum.de/vi ... 53&t=20665

Danach gab's die vorgeschaltete HTTP-Auth für die Fernwarting (sofern man http deaktivierte und https aktivierte)
Tarif: Business 150 Internet + Phone
https://www.evilazrael.de gehostet zuhause, sogar mit IPv6 (lautet bald: sogar mit IPv4 ;))

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast