Fritz.Box wurde gehackt

In diesem Forum geht es um die Router für Kabel Internet FRITZ!Box 6320, FRITZ!Box 6340, FRITZ!Box 6360, FRITZ!Box 6490 & FRITZ!Box 6590 Cable der Firma AVM.
tq1199
Glasfaserstrecke
Beiträge: 1816
Registriert: 07.02.2014, 09:05

Re: Fritz.Box wurde gehackt

Beitrag von tq1199 » 10.02.2014, 23:26

sofa-schlaffi hat geschrieben:Außerdem wurden vorsichtshalber abgehende Telefonanrufe in Ausland gesperrt. Meine FRITZ!Box war und ist definitiv nicht "gehackt" und trotzdem wurde ich angefrufen. Toller Service!
Mit deiner FritzBox ist etwas nicht in Ordnung, wenn abgehende Anrufe ins Ausland gesperrt worden sind.
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note

eazrael
Kabelexperte
Beiträge: 237
Registriert: 18.05.2012, 21:34
Wohnort: Troisdorf
Kontaktdaten:

Re: Fritz.Box wurde gehackt

Beitrag von eazrael » 11.02.2014, 00:25

Business 64 + Telefon. Auch keine Benachrichtigung bekommen. Dafür Spam von ner Unitymedia-Adresse.
Tarif: Business 150 Internet + Phone
https://www.evilazrael.de gehostet zuhause, sogar mit IPv6 (lautet bald: sogar mit IPv4 ;))

eazrael
Kabelexperte
Beiträge: 237
Registriert: 18.05.2012, 21:34
Wohnort: Troisdorf
Kontaktdaten:

Re: Fritz.Box wurde gehackt

Beitrag von eazrael » 11.02.2014, 00:28

Blöde Frage, war der Fernzugriff nicht ne Zeitlang über http-Authentifizierung gesichert?
Tarif: Business 150 Internet + Phone
https://www.evilazrael.de gehostet zuhause, sogar mit IPv6 (lautet bald: sogar mit IPv4 ;))

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritz.Box wurde gehackt

Beitrag von SpaceRat » 11.02.2014, 07:39

eazrael hat geschrieben:Blöde Frage, war der Fernzugriff nicht ne Zeitlang über http-Authentifizierung gesichert?
War er immer, sogar https.

Es gab aber eben eine Sicherheitslücke (Sprich: Einen Programmierfehler) in der Firmware bzw. dieser Komponente, über die man an die notwendigen Daten für den Login kommen konnte, bzw. bei den Unitymedia-Boxen immer noch kann.

Und statt heute noch Kunden anzurufen hätte Unitymedia besser die korrigierte Firmware ausgerollt. Mieser Service.

hajodele
Kabelkopfstation
Beiträge: 4819
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: Fritz.Box wurde gehackt

Beitrag von hajodele » 11.02.2014, 07:41

eazrael hat geschrieben:Blöde Frage, war der Fernzugriff nicht ne Zeitlang über http-Authentifizierung gesichert?
JEIN - HTTPS ist und war schon immer standardmäßig aktiviert. Allerdings ist es nur ein Haken und schon ist das "S" weg.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritz.Box wurde gehackt

Beitrag von SpaceRat » 11.02.2014, 08:24

hajodele hat geschrieben:
eazrael hat geschrieben:Blöde Frage, war der Fernzugriff nicht ne Zeitlang über http-Authentifizierung gesichert?
JEIN - HTTPS ist und war schon immer standardmäßig aktiviert. Allerdings ist es nur ein Haken und schon ist das "S" weg.
Blödsinn:

Der "HTTPS-Fernzugang" ist standardmäßig schon immer aus gewesen.
Er kann auch nur als solcher aktiviert werden, also entweder ist die Fritz!Box per https fernwartbar oder gar nicht, per http ging das noch nie.

Was unabhängig vom HTTPS-Fernzugang geht, ist die Konfiguration der Fritz!Box durch ein bestehendes VPN hindurch.
D.h. wenn ein VPN zu einer Fritz!Box besteht, dann ist diese durch den VPN-Tunnel hindurch unter ihrer lokalen IPv4-Adresse auch per http erreichbar, was aber auch keine große Überraschung ist, denn ein VPN stellt ja eben eine Intranet-Verbindung dar und keine Internet-Verbindung,
Das ist aber eine völlig andere Baustelle, weil es sich eben nicht um einen Fernzugang handelt.

johnripper
Glasfaserstrecke
Beiträge: 1286
Registriert: 06.02.2014, 19:29
Wohnort: Kabelbw-Land

Re: Fritz.Box wurde gehackt

Beitrag von johnripper » 11.02.2014, 09:12

eazrael hat geschrieben:Blöde Frage, war der Fernzugriff nicht ne Zeitlang über http-Authentifizierung gesichert?
Ich glaube du meinst die Möglichkeit von HTTP-AUTH.

Ja die gab es mal, diese hat man aber einfach rausgenommen aber der FW 5.50 (glaube, nicht sicher). Schade, denn mit dieser Funktion wäre auch sowas wie "site:myfritz.net" oder "site:superkabel.de" nicht möglich gewesen.
Office & Internet 150 @ Fritz!Box 6490, OS 6.50

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritz.Box wurde gehackt

Beitrag von SpaceRat » 11.02.2014, 09:22

johnripper hat geschrieben:Ja die gab es mal, diese hat man aber einfach rausgenommen aber der FW 5.50 (glaube, nicht sicher). Schade, denn mit dieser Funktion wäre auch sowas wie "site:myfritz.net" oder "site:superkabel.de" nicht möglich gewesen.
Wer's nicht kapiert, was johnripper meint:
site:myfritz.net
site:superkabel.de

Aus dem Grunde hat nach dem St.-Floriansprinzip beim aktuellen Hack auch schon gewonnen, wer den Port für die Fernwartung auf einen nicht-standardmäßigen verlegt hat.
Zu hacken sind Fritten mit Nicht-Standard-Port genauso, aber wozu nach Fritz!Boxen auf Non-Standard-Port suchen, wenn man so viele auf Standard-Port auf dem goldenen Tablett serviert bekommt?

johnripper
Glasfaserstrecke
Beiträge: 1286
Registriert: 06.02.2014, 19:29
Wohnort: Kabelbw-Land

Re: Fritz.Box wurde gehackt

Beitrag von johnripper » 11.02.2014, 09:40

SpaceRat hat geschrieben:Zu hacken sind Fritten mit Nicht-Standard-Port genauso, aber wozu nach Fritz!Boxen auf Non-Standard-Port suchen, wenn man so viele auf Standard-Port auf dem goldenen Tablett serviert bekommt?
Ja richtig.
Ich hatte die FB auf dem Port 450 offen. Zum Zeitpunkt des öffnen des Fernzugangs (Version 5.50 oder früher) war nur eine Portrange bis 450 möglich, den ich dann insoweit ausgenutzt habe. Diese Beschränkung ist dann irgendwann mit OS 5.50+ (??) entfallen.

Insofern hat diese "security by obscurity"-Maßnahme doch etwas gebracht: Vor mir hat es einfach andere getroffen.
Office & Internet 150 @ Fritz!Box 6490, OS 6.50

tq1199
Glasfaserstrecke
Beiträge: 1816
Registriert: 07.02.2014, 09:05

Re: Fritz.Box wurde gehackt

Beitrag von tq1199 » 11.02.2014, 09:49

johnripper hat geschrieben: Insofern hat diese "security by obscurity"-Maßnahme doch etwas gebracht: Vor mir hat es einfach andere getroffen.
Betr. den Angriff ja, aber nicht was das Finden der ext. IP-Adresse im internet mit "site:myfritz.net" betrifft. Denn im Internet werden mit "site:myfritz.net" auch FritzBoxen angzeigt, die weder auf Port 80 noch auf Port 443 lauschen, sondern z. B. auf Port 81 oder 85 oder irgend ein anderer Port. OK, diese im Internet gefundene Boxen können dann auch nicht gekackt werden, weil sie ja auf Port 443 bzw. auf einem anderen Port mit dem Dienst der für den Port 443 vorgesehen ist, nicht lauschen.
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritz.Box wurde gehackt

Beitrag von SpaceRat » 11.02.2014, 09:52

johnripper hat geschrieben:Ich hatte die FB auf dem Port 450 offen. Zum Zeitpunkt des öffnen des Fernzugangs (Version 5.50 oder früher) war nur eine Portrange bis 450 möglich, den ich dann insoweit ausgenutzt habe. Diese Beschränkung ist dann irgendwann mit OS 5.50+ (??) entfallen.

Insofern hat diese "security by obscurity"-Maßnahme doch etwas gebracht: Vor mir hat es einfach andere getroffen.
"security by obscurity" hat versagt: Der https-Teil ist closed source, was unter "security by obscurity" fällt.

Der Non-Standard-Port ist klassisches St.-Florian-Prinzip:
Heiliger St. Florian,
verschon' mein Haus, zünd' and're an!

Lenkradkrallen sind bzw. waren z.B. auch St.-Florian-Prinzip:
Wer dieses Auto will, der kriegt es auch. Aber wenn es nur darum geht, irgendein Fahrzeug für eine Fahrt zu erbeuten (Vollasi hat mal wieder den Bus verpaßt), dann ist die Lenkradkralle zumindest lästig genug, damit der Täter zum Auto daneben ohne Lenkradkralle greift.

johnripper
Glasfaserstrecke
Beiträge: 1286
Registriert: 06.02.2014, 19:29
Wohnort: Kabelbw-Land

Re: Fritz.Box wurde gehackt

Beitrag von johnripper » 11.02.2014, 10:04

tq1199 hat geschrieben:OK, diese im Internet gefundene Boxen können dann auch nicht gekackt werden, weil sie ja auf Port 443 bzw. auf einem anderen Port mit dem Dienst der für den Port 443 vorgesehen ist, nicht lauschen.
Der Fehler lag nicht in dem Protokoll 443 selbst, sondern im Fernzugang. Auf welchen Port der läuft dürfte m.E. ziemlich egal sein. Diesbezüglich ist die Pressemitteilung von AVM etwas ungenau. Aber AVM hat ja schon immer versucht komplizierte technische Begrifflichkeiten zu vermeiden (was es für mir immer schwierig macht zu verstehen, was sie genau meinen).

Da es vermutlich Portscans waren und weniger die öffentlich findbaren Boxen hatte man (sofern man sich nicht googeln lässt) einfach glück.
Office & Internet 150 @ Fritz!Box 6490, OS 6.50

johnripper
Glasfaserstrecke
Beiträge: 1286
Registriert: 06.02.2014, 19:29
Wohnort: Kabelbw-Land

Re: Fritz.Box wurde gehackt

Beitrag von johnripper » 11.02.2014, 10:12

SpaceRat hat geschrieben:
johnripper hat geschrieben:Ich hatte die FB auf dem Port 450 offen. Zum Zeitpunkt des öffnen des Fernzugangs (Version 5.50 oder früher) war nur eine Portrange bis 450 möglich, den ich dann insoweit ausgenutzt habe. Diese Beschränkung ist dann irgendwann mit OS 5.50+ (??) entfallen.

Insofern hat diese "security by obscurity"-Maßnahme doch etwas gebracht: Vor mir hat es einfach andere getroffen.
"security by obscurity" hat versagt: Der https-Teil ist closed source, was unter "security by obscurity" fällt.
Was den Dienst angeht haste Recht.

Was das auffinden angeht, sehe ich das anders. Ich glaube kaum, dass die Ressourcen gehabt hätten für jede IP den vollen Portbereich zu scannen. Zumal dies wahrscheinlich aufgefallen wäre. Insofern hat es sehr gut funktioniert.

Im übrigen gebe ich dir natürlich recht, auch wenn ich das Prinzip erst mal googlen musste : )
Office & Internet 150 @ Fritz!Box 6490, OS 6.50

tq1199
Glasfaserstrecke
Beiträge: 1816
Registriert: 07.02.2014, 09:05

Re: Fritz.Box wurde gehackt

Beitrag von tq1199 » 11.02.2014, 10:16

johnripper hat geschrieben: Der Fehler lag nicht in dem Protokoll 443 selbst, ...
Du meinst das HTTPS-Protokoll. Nein, das wurde nicht gehackt, dieses Protokoll ist auch nicht "closed source". Es geht um einen Dienst (closed source), für den AVM standardmäßig den Port 443, als Port zum lauschen vorgesehen hat und der mit dem HTTPS-Protokoll erreicht werden soll.
Zuletzt geändert von tq1199 am 11.02.2014, 10:18, insgesamt 1-mal geändert.
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note

eazrael
Kabelexperte
Beiträge: 237
Registriert: 18.05.2012, 21:34
Wohnort: Troisdorf
Kontaktdaten:

Re: Fritz.Box wurde gehackt

Beitrag von eazrael » 11.02.2014, 10:16

johntheripper hat verstanden, was ich meinte. Wie würdet ihr denn die jetzige web-basierte Application-Authentifizierung nennen?

Die Fernwartung mit der vorgeschalteten HTTP-Authentifizierung wäre doch vermutlich gegen den Remote-Angriff immun gewesen, sofern die kritischen Skripte nicht von der Auth ausgenommen waren. Sofern sollte man doch die verwundbaren ziemlich hart eingrenzen können. Was uns Zwangsrouter-Nutzern natürlich eh nix hilft, da wir auf Gedeih und Verderben UM ausgeliefert sind.

Das wäre doch auch eine interssante Haftungsfrage. Bin ich verpflichtet die Fernwartung abzuschalten bis sich UM bequemt den Fix auszurollen oder haftet UM für den Missbrauch, weil die Config eigentlich deren Domäne fällt und sie den Fix nicht zeitnah ausgerollt haben?

Vor 2 Jahren gab's dann schon mal diese Lücke hiier:
http://www.unitymediakabelbwforum.de/vi ... 53&t=20665

Danach gab's die vorgeschaltete HTTP-Auth für die Fernwarting (sofern man http deaktivierte und https aktivierte)
Tarif: Business 150 Internet + Phone
https://www.evilazrael.de gehostet zuhause, sogar mit IPv6 (lautet bald: sogar mit IPv4 ;))

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritz.Box wurde gehackt

Beitrag von SpaceRat » 11.02.2014, 10:18

tq1199 hat geschrieben:Denn im Internet werden mit "site:myfritz.net" auch FritzBoxen angzeigt, die weder auf Port 80 noch auf Port 443 lauschen, sondern z. B. auf Port 81 oder 85 oder irgend ein anderer Port. OK, diese im Internet gefundene Boxen können dann auch nicht gekackt werden, weil sie ja auf Port 443 bzw. auf einem anderen Port mit dem Dienst der für den Port 443 vorgesehen ist, nicht lauschen.
Ich würde mich da jetzt nicht zu 110% drauf festlegen, aber doch zu 99%:

Jain.
Für den Google-Index sind Web-Seiten (http/https) und ggf. noch FTP-Server relevant. Wenn unter der Adresse xyz.myfritz.net nun nichts davon zu finden ist, dann sollte diese Fritz!Box auch nicht bei Google auftauchen.

Einschränkung: Für die Aufnahme in den Such-Index muß nicht unbedingt die Fritz!Box diesen ftp/http/https-Server darstellen, sondern es kann sich eben auch um ein angeschlossenes Gerät oder einen reingefreezten Apache handeln.

Erweiterung: Ist keiner der o.g. Server zu öffnen, erfolgt auch dann keine Aufnahme, wenn die Server vorhanden sind.

Test, Schritt 1:
  • Suche auf Google nach site:myfritz.net
    Jede Menge Treffer
  • Kopieren einer spezifischen Adresse aus den Suchtreffern, z.B. abcdefghij.myfritz.net und Wiederholen der Suche mit site:abcdefghij.myfritz.net
    Wir erhalten als Suchtreffer die gesamte Seitenstruktur
Fazit: Wir können durch Angabe der vollständigen MyFritz!-URL überprüfen, ob überhaupt etwas indiziert wurde.
Ich will jetzt nicht eine echte myfritz.net-Adresse als Beweis anführen, aber glaubt mir einfach, daß das durchaus auch dann funktioniert, wenn auf der Fritz!Box-Adresse selber nichts offen ist, aber auf einem angeschlossenen Gerät (Also <Gerät>.abcdefghijklm.myfritz.net).

Test, Schritt 2:
  • Suche nach der eigenen MyFritz!-Adresse mit site:<eigene-MyFritz-Addy>.myfritz.net
    Es wurden keine mit Ihrer Suchanfrage - site:xxxxxxxxxxxxxxxx.myfritz.net - übereinstimmenden Dokumente gefunden.
Und das, obwohl unter dieser Adresse
- ein FTPS-Server
und
- drei bis vier HTTPS-Server (Darunter zwei Enigma-Receiver und der Fritz!Box-Fernzugang)
erreichbar sind.

M.a.W.: Da Google bereits jeweils am Auth/der Key-Challenge scheitert, wird auch genau gar nichts indiziert.
Dies gilt auch, wenn der Fernzugang auf Non-Standard-Port läuft, da Google dort niemals zu suchen anfängt. Suchtreffer auf Nicht-Standard-Ports resultieren aus Links auf regulär (Standardport) erreichbaren Seiten.

q.e.d.: Der Fritz!Box-Fernzugang wird nur deshalb überhaupt in den Google-Index übernommen, weil es dort auf dem Standard-Port eine Login-Seite zu indizieren gibt.
Gibt es aufgrund einer Key-Challenge oder wegen Basic Auth nichts zu indizieren, bleibt man für diese Suche unerkannt, ebenso, wenn man Google nicht durch Verlinkung auf einen Fernzugang auf den Non-Standard-Port stößt.

Bei einem Port-Scan auf die schon bekannte MyFritz!-Adresse würde der Fernzugang allerdings auch weiterhin gefunden werden und wäre auch angreifbar (Nicht bei mir, da schon Firmware 06.03 installiert).

tq1199
Glasfaserstrecke
Beiträge: 1816
Registriert: 07.02.2014, 09:05

Re: Fritz.Box wurde gehackt

Beitrag von tq1199 » 11.02.2014, 10:28

SpaceRat hat geschrieben:..., aber glaubt mir einfach, daß das durchaus auch dann funktioniert, wenn auf der Fritz!Box-Adresse selber nichts offen ist, aber auf einem angeschlossenen Gerät (Also <Gerät>.abcdefghijklm.myfritz.net).
Das müssen wir nicht "glauben", das ist so und das kann jeder der My!Fritz (bzw. einen anderen dyndns-Dienst) und z. B. FRITZ!App Cam auf seinem Smartphone/Tablet mit der FritzBox benutzt, testen.
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note

johnripper
Glasfaserstrecke
Beiträge: 1286
Registriert: 06.02.2014, 19:29
Wohnort: Kabelbw-Land

Re: Fritz.Box wurde gehackt

Beitrag von johnripper » 11.02.2014, 10:33

eazrael hat geschrieben:Die Fernwartung mit der vorgeschalteten HTTP-Authentifizierung wäre doch vermutlich gegen den Remote-Angriff immun gewesen, sofern die kritischen Skripte nicht von der Auth ausgenommen waren.
Es hätte mind. größeren Aufwand bedeutet. Ob damit das Leck vollständig abgedichtet gewesen wäre kann man nicht sagen, da man nichts über den Angriff weiß und ich nichts über die Wirkungsweise von HTTP-AUTH.
Ich bin auch der Meinung, dass die Identifizierung der Boxen schwieriger geworden wäre, da HTTP-AUTH keinen Rückschluss auf das gerät zugelassen hat. Aber da wurde ich anderer Stelle korrigiert, dass die Loginmaske durchaus etwas über eine Fritzbox gesagt hat.
eazrael hat geschrieben:Das wäre doch auch eine interssante Haftungsfrage. Bin ich verpflichtet die Fernwartung abzuschalten bis sich UM bequemt den Fix auszurollen oder haftet UM für den Missbrauch, weil die Config eigentlich deren Domäne fällt und sie den Fix nicht zeitnah ausgerollt haben?
Ja, m.E. schon. Schau mal in deine AGBs. Du bist zur "Schadensabwehr" verpflichtet. Deswegen verstehe ich nicht warum die KBW Kunden nicht per Email informiert wurden.
SpaceRat hat geschrieben:M.a.W.: Da Google bereits jeweils am Auth/der Key-Challenge scheitert, wird auch genau gar nichts indiziert.
Richtig.
Office & Internet 150 @ Fritz!Box 6490, OS 6.50

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritz.Box wurde gehackt

Beitrag von SpaceRat » 11.02.2014, 11:04

eazrael hat geschrieben:Vor 2 Jahren gab's dann schon mal diese Lücke hiier:
http://www.unitymediakabelbwforum.de/vi ... 53&t=20665
Nicht wirklich.

Die Fritz!Boxen war noch nie über http von außen erreichbar, nur per https und das war schon immer standardmäßig aus.
Beständiges Wiederholen anderslautender falscher Behauptungen machen sie auch nicht wahrer.
eazrael hat geschrieben:Danach gab's die vorgeschaltete HTTP-Auth für die Fernwarting (sofern man http deaktivierte und https aktivierte)
Falsch.

Richtig ist:
  1. Die Fritz!Boxen sind netzintern und nicht abschaltbar per http ansprechbar und das ist auch gut so, wie sollte man sie auch sonst einrichten?
  2. Die Fritz!Boxen sind netzintern optional zusätzlich per telnet erreichbar (Nicht bei Kabel-Fritten)
  3. Von außen sind alle Fritz!Boxen von außen standardmäßig nicht erreichbar.
  4. Man kann Fritz!Boxen von außen optional ausschließlich per https erreichbar machen.
Details:
  • Zu Punkt 1:
    Lokal und bei physischem Zugriff auf die Box ist es durchaus möglich, die Fritz!Box auf Werkseinstellungen zurückzusetzen.
    Genauso gut kann man die Fritz!Box (Außer Kabel-Modellen) mit einer Recovery-Firmware flashen, den Start-Vorgang anhalten udgl.
    Auch das ist gut so, oder wollt Ihr Eure Geräte wegwerfen/einschicken müssen, wenn Ihr das Passwort vergeßt?

    Physisch zugängliche Geräte sind niemals für irgendeine Sicherheitsstufe zertifizierbar.
    Ein Geldautomat ist auch immer nur so sicher, wie der Tresor, in den er eingebaut ist. Nimmt man den darin enthaltenen PC raus und stellt Ihn auf den Schreibtisch, könnte ihn mein Kater hacken.
  • Zu Punkt 2+3:
    Telnet und auch das normale http-Interface sind standardmäßig und mit Werksmitteln nicht nach außen zu öffnen.
  • zu Punkt 4:
    Der https-Zugang hat in der Vergangenheit (Firmware 04.55-04.xx, ggf. auch länger) Basic Auth zum Login benutzt, d.h. Login und Kennwort wurden in einem vom Browser dargestellten Popup eingegeben (oder mittels login:passwort@URL gleich beim Aufruf mit übergeben, diese Syntax wird aber von manchen Browser standardmäßig nicht mehr unterstützt, weil man auf diese Weise Vollhonks falsche URLs vorgaukeln konnte) und nach wohl definierten Standards an den Server übertragen.
    Hierbei ist ein "Passwort vergessen"-Link gar nicht möglich.

    In neueren Firmwares wurde Basic Auth durch eine von der Fritz!Box dargestellte Login-Seite ersetzt (Die der Grund ist, wieso die Fritz!Boxen im Google-Index indiziert werden, da diese Seite immer lesbar ist). Ein Passwort-Reset ist hier aber nicht möglich. Den "Passwort-Reset"-Link erreicht man erst, wenn man diese Login-Seite passiert hat und sich dann mit dem normalen Fritz!Box-Kennwort nochmals authentifizieren muß.
Den "Passwort vergessen"-Link erreicht man also nur, wenn man sich entweder lokal anmelden will oder die Authentifizierung für den Fernzugang bereits geschafft hat, nicht aber - wie behauptet - "einfach so aus dem Internet".

Für den Zugriff von außen kommt noch ein Aspekt etwas hinzu:
Selbst wenn der Link von außen erreichbar wäre, wäre er für einen Angreifer wertlos, da nach dem Reset der Zugriff von außen gesperrt wäre (Fernzugang ist standardmäßig aus) und ein Großteil der Boxen wäre danach sogar komplett offline, da bei DSL i.d.R. ja nun einmal Zugangsdaten benötigt werden, die dann mit weg sind.
Schlimmstenfalls wäre es also lästig, wenn es denn überhaupt ginge, was ja nun schlichtweg gelogen ist.

Für den Zugriff von innen kann man sich jetzt darüber streiten, ob der "Passwort vergessen"-Link so clever ist oder ob nicht ein physischer Reset-Knopf besser gewesen wäre.
Sicherlich hat sich die Fritz!Box damit als Firmen-Router in gewisser Weise disqualifiziert, denn mit physischem Reset-Knopf wäre sie in einem abgeschlossenen 19"-Rack vor Angriffen von innen sicher, während sie mit dem Link von innen angreifbar ist.

Diese Diskussion ist aber eher akademischer Natur:
Die Fritz!Box ist eben kein Profi-Router, sondern für private Internet-Anschlüsse konzipiert. Ein "richtiger" Router wird ja aus gutem Grund nicht per http/https gewartet, sondern per ssh oder sogar ausschließlich per serieller Konsole ...
Die einzige Gefahr, die bei einer Fritz!Box von innen droht, ist der Sproß der Familie, der unbedingt statt auf Pornoseiten auf irgendwelchen Lernseiten surfen will, die die Eltern ihm gesperrt haben, damit er kein Streber wird sondern sich normal entwickelt. Und vor dem ist die Fritz!Box so oder so nicht sicher, da sie für ihn physisch erreichbar ist.
Genauso kann er auch einfach per ethercap den normalen http-Login mitloggen ...

Und in besseren Zeiten gab es dafür eine ganz einfache und wirksame Methode: Über's Knie legen.
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

johnripper
Glasfaserstrecke
Beiträge: 1286
Registriert: 06.02.2014, 19:29
Wohnort: Kabelbw-Land

Re: Fritz.Box wurde gehackt

Beitrag von johnripper » 11.02.2014, 11:16

SpaceRat hat geschrieben:
  • zu Punkt 4:
    Der https-Zugang hat in der Vergangenheit (Firmware 04.55-04.xx, ggf. auch länger) Basic Auth zum Login benutzt, d.h. Login und Kennwort wurden in einem vom Browser dargestellten Popup eingegeben (oder mittels login:passwort@URL gleich beim Aufruf mit übergeben, diese Syntax wird aber von manchen Browser standardmäßig nicht mehr unterstützt, weil man auf diese Weise Vollhonks falsche URLs vorgaukeln konnte) und nach wohl definierten Standards an den Server übertragen.
    Hierbei ist ein "Passwort vergessen"-Link gar nicht möglich.

    In neueren Firmwares wurde Basic Auth durch eine von der Fritz!Box dargestellte Login-Seite ersetzt (Die der Grund ist, wieso die Fritz!Boxen im Google-Index indiziert werden, da diese Seite immer lesbar ist). Ein Passwort-Reset ist hier aber nicht möglich. Den "Passwort-Reset"-Link erreicht man erst, wenn man diese Login-Seite passiert hat und sich dann mit dem normalen Fritz!Box-Kennwort nochmals authentifizieren muß.
Hierzu eine Anmerkung:
Soweit ich mich erinnern kann wurde die HTTP-Auth stets vor die Loginseite geschaltet. Möglich, dass es in noch früheren Version nur den HTTP-Auth gab. Dazu kann ich nicht sagen.

Konkrekt:
- Man musste sich zuerst mittels HTTP-Auth einloggen. Dazu konnte man in dem Menü "Fernwartung" einen Benutzernamen und ein Passwort festlegen, so wie es einem gefällt.
- Im zweiten Schritt musst man das Admin Passwort der Box auf der Login Seite die mittels HTTP/HTML dargestellt wurde eingeben.

Dies war zumindest so, sofern es um die Fernwartung über WAN ging. Welche FW Versionen dies betraf kann ich leider nicht sagen. Auch wann dieses Feature ersatzlos gestrichen wurde weiß ich leider nicht mehr. War aber bei der 85.50.50 schon so implementiert, dass man nur noch die Loginseite erhalten hat.
Office & Internet 150 @ Fritz!Box 6490, OS 6.50

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritz.Box wurde gehackt

Beitrag von SpaceRat » 11.02.2014, 11:23

johnripper hat geschrieben:
eazrael hat geschrieben:Die Fernwartung mit der vorgeschalteten HTTP-Authentifizierung wäre doch vermutlich gegen den Remote-Angriff immun gewesen, sofern die kritischen Skripte nicht von der Auth ausgenommen waren.
Es hätte mind. größeren Aufwand bedeutet. Ob damit das Leck vollständig abgedichtet gewesen wäre kann man nicht sagen,
Doch, kann man und das sogar mit Bestimmtheit: Es hat den Angriff als solchen nicht verhindert.

Das kann man ganz einfach daran sehen ...

AVM Update News
FRITZ!Box 7170 Version 29.04.88
Neue Features: - Sicherheit: Unberechtigte Zugriffsmöglichkeit auf FRITZ!Box behoben. Beachten Sie dringend die aktuellen Hinweise unter http://www.avm.de/sicherheit
Sprache: Deutsch Dateigröße: 8340 KB
Version: 29.04.88 Datum: 10.02.2014
...
AVM Update News English
FRITZ!Box 7570 VDSL Version 75.04.92
New Features : -Security: removes possibility for unauthorized access to FRITZ!Box. Please check for important information here: http://www.avm.de/en/Sicherheit
Sprache: English Dateigröße: 12340 KB
Version: 75.04.92 Datum: Feb 10, 2014

... daß AVM auch uralte und eigentlich gar nicht mehr gepflegte Boxen aktualisiert hat, deren Firmware noch vorgeschaltetes Basic Auth verwendet haben.

Laut meiner Anfrage vom 9.2.2014 bei AVM gab es übrigens keine dokumentierten Fälle von Betroffenen bei diesen Boxen:
AVM hat geschrieben:Generell kann ich ein Eindringen über den Https-Fernzugriff derzeit für
diese älteren Boxen noch nicht ausschließen (wenngleich uns zu diesen
älteren FRITZ!Boxen noch keine Fälle bekannt geworden sind
). Daher empfehle
ich auch Nutzern von FRITZ!Boxen dieser Gerätegeneration, den
https-Fernzugriff zu deaktivieren, sowie die weiteren empfohlenen Maßnahmen
soweit in der betreffenden FRITZ!Box relevant, umzusetzen.
Dafür muß man AVM einfach mal ein riesenfettes Lob aussprechen.
Erstens hat man sich die Mühe gemacht ein EOL-Produkt überhaupt noch mal anzufassen, um es gegen eine aktuelle Lücke auszutesten und zweitens hat man sogar noch ein Update hinterhergeliefert.
Das würde so gut wie kein anderer Hersteller machen.

Tatsächlich scheint es aber, daß allein der zusätzliche Aufwand in diesem Fall zumindest vorerst Schutz "genug" war. Was nur zu gut beweist, daß auch Hacker faule Säcke sind.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritz.Box wurde gehackt

Beitrag von SpaceRat » 11.02.2014, 11:43

johnripper hat geschrieben:Ja, m.E. schon. Schau mal in deine AGBs. Du bist zur "Schadensabwehr" verpflichtet. Deswegen verstehe ich nicht warum die KBW Kunden nicht per Email informiert wurden.
In dem Punkt wäre ich ja kackendreist:

Code: Alles auswählen

An: Unitymedia/KabelBW (Unzutreffendes bitte streicheln)

Sehr geehrte Vollpfostinnen und Vollpfosten,

da ich gemäß Abschnitt B, Punkt 1.4 Ihrer AGB zum Schutz der Zugangsdaten verpflichtet bin, diese aber aufgrund aktueller Kenntnisse über Sicherheitslücken in dem von Ihnen gestellten Fritz!Box-Router als ungeschützt zu betrachten sind, fordere ich Sie hiermit auf, die vorgenannte Sicherheitslücke durch schnellstmögliches - d.h. umgehendes - Aufspielen der Ihnen nachweislich vorliegenden aktualisierten Firmware Version 06.04 zu schließen.

Das Deaktivieren des Fernzugriffs stellt hierzu keine Alternative dar, da die Gestellung einer Fritz!Box 6360 und somit auch der aus diesen bekannte Funktionsumfang zu den zugesicherten Eigenschaften meines Vertrages gehört, von denen der Fernzugriff entscheidend für den Vertragsabschluß war.

Der Erledigung der Angelegenheit sehe ich bis zum 13.3.2014 entgegen und verbleibe

Mit freundlichen Grüssen,

(Unleserliche Unterschrift)
Unity Opfer
Für DS-lite-Kunden optional frech zu ergänzen:
s/(Fernzugriff )(entscheidend)/$1 sowie der MyFritz!-Dienst - als Alternative zur DS-lite-bedingten Unmöglichkeit, ein VPN zu errichten - $2/g;
s/(abschluß war)/${1}en/g;

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritz.Box wurde gehackt

Beitrag von SpaceRat » 11.02.2014, 12:06

johnripper hat geschrieben:Soweit ich mich erinnern kann wurde die HTTP-Auth stets vor die Loginseite geschaltet. Möglich, dass es in noch früheren Version nur den HTTP-Auth gab. Dazu kann ich nicht sagen.
Bevor wir das noch ein paar Stunden ausdiskutieren, hier einfach der Bildbeweis, wie's wirklich war und jetzt ist:
  • Alte Box mit Basic Auth (Zweischritt-Verfahren):
    1. Schritt: Basic-Auth (Hier im IE):
      Bild
      Rot markiert: Der "realm", ausgestrichen: Die Adresse
    2. Schritt: "Lokaler" Login (Derselbe, wie bei einer lokalen Anmeldung, aber remote eben erst im 2. Schritt):
      Bild
      Erst hier ist der "Passwort vergessen"-Link verfügbar.
  • Neue Box mit Form-Login (Einschritt-Verfahren):
    Bild
    Hier gibt es gar keinen "Passwort vergessen"-Link.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritz.Box wurde gehackt

Beitrag von SpaceRat » 11.02.2014, 12:11

johnripper hat geschrieben:- Man musste sich zuerst mittels HTTP-Auth einloggen. Dazu konnte man in dem Menü "Fernwartung" einen Benutzernamen und ein Passwort festlegen, so wie es einem gefällt.
- Im zweiten Schritt musst man das Admin Passwort der Box auf der Login Seite die mittels HTTP/HTML dargestellt wurde eingeben.
Korrekt.
Und erst beim zweiten Schritt gab es einen "Passwort vergessen"-Link, also genau nicht ungeschützt im Internet.
johnripper hat geschrieben:Dies war zumindest so, sofern es um die Fernwartung über WAN ging.
Lokal entfällt einfach der HTTPS-Basic-Auth und man landet direkt im Formular für die Anmeldung.
johnripper hat geschrieben:Welche FW Versionen dies betraf kann ich leider nicht sagen. Auch wann dieses Feature ersatzlos gestrichen wurde weiß ich leider nicht mehr. War aber bei der 85.50.50 schon so implementiert, dass man nur noch die Loginseite erhalten hat.
Richtig.
Und auch auf der gibt es keinen "Passwort vergessen"-Link.

eazrael
Kabelexperte
Beiträge: 237
Registriert: 18.05.2012, 21:34
Wohnort: Troisdorf
Kontaktdaten:

Re: Fritz.Box wurde gehackt

Beitrag von eazrael » 11.02.2014, 12:17

SpaceRat hat geschrieben:
johnripper hat geschrieben:- Man musste sich zuerst mittels HTTP-Auth einloggen. Dazu konnte man in dem Menü "Fernwartung" einen Benutzernamen und ein Passwort festlegen, so wie es einem gefällt.
- Im zweiten Schritt musst man das Admin Passwort der Box auf der Login Seite die mittels HTTP/HTML dargestellt wurde eingeben.
Korrekt.
Und erst beim zweiten Schritt gab es einen "Passwort vergessen"-Link, also genau nicht ungeschützt im Internet.
Nein, die Zwei-Schritt-Authentifizierung gab es damals nur,wenn man https explizit aktivierte, was es nicht per Default war, asonsten war die Login-Seite ungeschützt aus dem Netz erreichbar. Das war auch der Grund warum ich das damals als Sicherheitslücke ansah. Es gab ein 10min (- Sync-Dauer) wo die Passwort Zurücksetz-Funktion wohl von aussen zugänglich war.

Das auch evt. ältere Modelle gepatcht werden, ist meiner Meinung nach kein Beweis, dass es auch mit der http-auth geklappt hätte. Wenn's ne gemeinse Source ist, dann kann eine Änderung einen Build/Release in allen möglichen Modellen triggern.

Hab mich nichh so richtig dafür interessiert, gibt's eigentlich ne öffentliche Beschreibung wie der Hack funktioniert, bzw welche URLs betroffen sind?
Tarif: Business 150 Internet + Phone
https://www.evilazrael.de gehostet zuhause, sogar mit IPv6 (lautet bald: sogar mit IPv4 ;))

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste