[Info] Sicherheitsleck bei O2

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
qwertz.asdfgh

qwertz.asdfgh

IPPF-Promi
Mitglied seit
18 Feb 2011
Beiträge
4,467
Punkte für Reaktionen
65
Punkte
48
Nach KDG/Vodafone ist O2 an der Reihe:
http://heise.de/-3058703

Eine kostenlose Informationsquelle habe ich auf die schnelle leider nicht gefunden, wird es aber bestimmt bald geben.


edit
Nun (in abgespeckter Form) auch ohne Paywall erreichbar:
http://heise.de/-3066225

edit2
Zwar ist der frei erhältliche Artikel abgespeckt aber darin sind die Informationen die im originalen Artikel enthalten sind verlinkt.
 
Zuletzt bearbeitet:
qwertz.asdfgh schrieb:
Nach KDG/Vodafone ist O2 an der Reihe:
http://heise.de/-3058703
Zum Vergrößern anklicken....
ROTFL ... vielleicht ist das ja auch der Grund, warum die O2-Konfiguration über TR-069 nun nicht mehr ohne weiteres funktioniert: http://www.ip-phone-forum.de/showthread.php?t=283488

Ich hatte zwar ohnehin auf Identifikation des Kunden anhand der IP-Adresse getippt, hätte aber wenigstens erwartet, daß da auch die richtige IP-Adresse bei der Konfiguration geprüft wird bzw. das nur für die Absender-IP auch klappt.

Ich kenne jetzt den Inhalt des Artikels nicht (komme auch ohnehin nicht mehr zum Lesen der c't, habe kein Abo mehr und bin daher nicht mehr in der Lage, die Paywall "zu durchbrechen").

Stimmt denn meine Vermutung, daß die IP-Adresse irgendwo im Request mit übermittelt wurde und dann einfach variiert werden konnte für die TR-069-Konfiguration? Mußte denn die IP wenigstens aus dem O2-Netz sein oder ging da auch jede andere?

Ich bin ja fast versucht, den Artikel tatsächlich zu erstehen ...

Manchmal glaubt man gar nicht, wie simpel solche Fehler im Grunde sind und denkt sich irgendwelche komplizierten Szenarien für Angriffe aus, weil man einfach nicht vermutet, daß es noch viel einfacher geht.

EDIT: OK, um 07:00 Uhr hat heise.de jetzt einen weiteren Artikel dazu veröffentlicht ... genauso wie vermutet, wird eben die IP nicht vom Anfragenden genommen, sondern aus irgendwelchen übermittelten Parametern. Daß das O2 aber seit 15 Monaten nicht in den Griff kriegt, ist schon wieder fast ein "Däumchen" wert, fraglich ist nur dessen Richtung.
 
Zuletzt bearbeitet:
Hier der Link zur heise.de Meldung.

So wie ich O2 kenne, wird das "verschärftes" Monitoring aber dem Kunden im Endeffekt nichts bringen, falls tatsächlich mal ein Schaden entsteht... Allein die Bitte an heise.de die Veröffentlichung "um mehrere Monate zu verschieben" macht mich sprachlos.
 
PeterPawn schrieb:
Ich hatte zwar ohnehin auf Identifikation des Kunden anhand der IP-Adresse getippt, hätte aber wenigstens erwartet, daß da auch die richtige IP-Adresse bei der Konfiguration geprüft wird bzw. das nur für die Absender-IP auch klappt.
Zum Vergrößern anklicken....
Nö, warum auch, gibt doch nur gute Menschen... :kasper:
Der Fauxpas ist aufgeflogen als Heinrichs vergessen hatte nach der 24h Zwangstrennung die IP-Adresse in seinem eigenen (rudimentären) TR069-Client anzupassen, voilà (den Rest kann man sich denken).

PeterPawn schrieb:
Stimmt denn meine Vermutung, daß die IP-Adresse irgendwo im Request mit übermittelt wurde und dann einfach variiert werden konnte für die TR-069-Konfiguration?
Zum Vergrößern anklicken....
Ja, mehr ist es letztlich nicht (edit 3: Nicht ganz richtig, es wird nicht die IP-Adresse aus dem Request verwendet sondern der Router übergibt die aktuelle IPv4-Adresse in einem Parameter, für die Antwort wird/wurde scheinbar jedoch wieder die IP-Adresse aus dem Request benutzt). Die Kommunikation zwischen CPE/TR069-Client und dem ACS ist auch nicht zwangsweise verschlüsselt, Klartext geht/ging natürlich auch. :cool:
Ach ja, es werden/wurden selbstverständlich keine Zugangsdaten für den ACS benötigt, die (angeblich aktuelle eigene) IPv4-Adresse reicht(e) als Parameter bzw. Identifikation selbstredend zur Identifikation aus. :silly:

PeterPawn schrieb:
Mußte denn die IP wenigstens aus dem O2-Netz sein oder ging da auch jede andere?
Zum Vergrößern anklicken....
Muss(te) aus dem O2-Netz sein (ist meine Vermutung). Zumindest können für andere IP-Adressen eigentlich keine Konfigurationsdaten vorliegen die O2 über den ACS versenden könnte. Aber ist ja letztlich nicht besonders schwer, ein kleines Zitat aus dem Artikel:
c't 02/2016 schrieb:
Im einfachsten Fall genügt es schon, die letzte Ziffer der eigenen IP hoch- oder herunter zu zählen.
Zum Vergrößern anklicken....

edit 2
Du wolltest wohl eher wissen ob man auch aus einem anderen Netz heraus den ACS "anfragen" konnte, nun, das weiß ich nicht und wurde wohl auch nicht geprüft so wie ich das sehe.



doubleU schrieb:
Hier der Link
Zum Vergrößern anklicken....
Äh, der steht doch bereits in Beitrag #1. :confused:

Du wolltest wohl dahin verlinken:
http://heise.de/-3066225
 
Zuletzt bearbeitet:
qwertz.asdfgh schrieb:
Zumindest können für andere IP-Adressen eigentlich keine Konfigurationsdaten vorliegen die O2 über den ACS versenden könnte.
Zum Vergrößern anklicken....
OK, hier meinte ich aber schon, ob die Quell-Adresse einer TR-069-Verbindung (also nicht das, was im Request-Body stand) aus dem o2-Netz stammen mußte. Immerhin kann man die Adresse des ACS von o2 (acs.o2online.de) ja auch von außen auflösen ... allerdings antwortet (inzwischen?) wohl der Server nicht mehr auf Requests von außerhalb der o2-AS. Es hätte mich halt nur interessiert, ob das vorher vielleicht tatsächlich auch aus China geklappt hätte.

EDIT: Die Möglichkeit, hinter einem o2-Anschluß mit dem ACS "zu reden", finde ich jetzt nicht soo bemerkenswert. Ich wäre im Gegenteil überrascht, wenn das bei andern Anbietern mit ACS (1&1 mal außen vor, die verwenden die Daten des Benutzers für die Identifikation am ACS) so sehr viel anders wäre. Zumindest da, wo ohne Kopie der CWMP-Daten aus dem Original auch eine Ersatzbox angeschlossen werden kann (die dann auch konfiguriert wird vom Anbieter), wüßte ich nicht so richtig, woran der ACS das CPE als solches von einem passenden Client im LAN dahinter unterscheiden sollte.
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 537 (Mitglieder: 32, Gäste: 505)

Neueste Beiträge

Statistik des Forums

Themen
244,826
Beiträge
2,219,013
Mitglieder
371,519
Neuestes Mitglied
Hipath3000
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück