[Info] [Update] Telefonie-Missbrauch (anscheinend doch) Massenhack von AVMs Fritzboxen

[pumana]

Ich bekam nur die Auskunft, daß die 7170 nach bisherigen Erkenntnissen nicht betroffen ist, also sind offensichtlich nur neuere Modelle gefährdet.

Mich würde es auch dringend interessieren ob die 7170 gefährdet ist, habe nämlich 3 gefritzte auf unterschiedlichen Standorten verteilt im Einsatz und die Fernwartung war eigentlich ein Muss da 2 davon im Ausland sind. Hast du die Info an der Hotline bekommen oder per Email? Und wenn die 7170 betroffen sein soll kommt da überhaupt ein Update heraus?

Jemand sollte noch den Titel ändern, und zwar in "AVM Fritzboxen massenhaft gehackt, AVM hats verkackt"

 

[csmulo]

Die Forderung nach der Titeländerung ist ja wohl nicht dein Ernst.
So schnell wie AVM da reagiert hat und offen kommuniziert hat ist absolut vorbildlich.
Da können sich die Internetserviceprovider mal ne ganz große Scheibe abschneiden!

 

[robert78]

Hallo IP-Phone Forum,

ich möchte von meinen fall berichten, der sich schon letztes Jahr ereignet habe. Mitte November / Anfang Dezember stürzte meine Fritzbox ( hier ein Router Speedport 920 mit Fritz Soft)

eines Tages fand ich unzählige. ich glaube an sich 12 neue Telefone in der Fritz box eingerichtet die immer mit 9xxx angefangen haben als Name. Da ich persönlich eine ISDN Leitung nutze und keine VoIP eingerichtet habe dachte ich die Fritzbox hat einen schlag abbekommen da die immer wieder neustartete, das nicht öfters als 2-3 mal in 1 stunde.

Welche Dienste waren an:

Fernwartung
über nicht Standard Port
Benutzer Name war ungewöhnlich gewählt , also keine echte Name wie Admin, Web Master bla bla
PW natürlich auch.

DynDNS Dienst
mein DynDNS dienst
100% das dies nicht die Ursache war.

VPN
Fritz box eigenes VPN
Vermutung nahe da hier stinknormale email addy als Login und pw verlangt werden.
??? was sagt ihr ?

Gerättausch und neue Einrichtung
ich habe meinen Speedport tauschen lassen, seit dem läuft die Kiste stabil. allerdings sind hier neue Schlüssel erstell worden von mir.

ich hoffe das AVM auch für die alten Fritz!boxen Software update bereitstellt
bisher keine Reaktion darauf. (((


Grüße
Robert


PS- was mir noch auffiel , das die box zum teil auf 100% lief, dabei war die Erreichbarkeit wie bei einen Denial of Service Angriff.
vielleicht ein BruteForce angriff ?


gibt es mittlerweile Lösungen ? da ich meine Fernwartung echt brauche.

 

[onfocus]

Mittlerweile scheint klar, dass Fritzboxen via https Fernzugang ohne E-Mail/Passwort-Kentniss gehackt werden konnten. Ob dies mittels globalen Backdoor-Login-Daten, an welche die Kriminellen gelangen konnten, oder sogar ohne Login-Daten passieren konnte, ist nicht klar. AVM schweigt sich über dieses wichtige Detail aus, vielleicht auch aus Sorge vor Schadensersatzforderungen, denn die verursachten Schadenskosten müssen sich mittlerweile mindestens auf einen 6-stelligen Betrag belaufen. Dazu kommen dann all die komprimittierten E-Mail/Passwörter, welche auf den Fritzboxen gespeichert waren. Notabene in Klartext, was sicherheitstechnisch unverzeihlich für eine öffentliche Netz-Box ist.

Ein solches Sicherheitsleck im öffentlichen Netz zuzulassen, war extrem naiv von AVM, insbesondere angesichts des AVM-Zitats:
"Peter Faxel, CTO von AVM: „Die Entwicklung neuer Software durchläuft bei uns mehrere Sicherheitsstufen und sie wird vor Veröffentlichung zusätzlich von namhaften Experten geprüft.". Ja, richtig...

Auch ist immer noch unklar, ob der Fernzugriff nach erfolgtem Sicherheits-Update jetzt wieder aktiviert werden kann oder nicht.

 

[robert78]

nun ja, namhafte experten .....

es wird immer einen geben der besser ist als der experte, es gibt genug Konkurrenz die einen gutem Namen schaden zufügen würden.

aber im ernst, was ich sehr dumm finde, das bei jedem Neustart der Fritzbox die Logs einfach weg sind!

aber wir sehen ja, das auch bei namhaften Profi Routern nicht besser ist.

was ist mit dem Provider dienst eigentlich ?
das ist doch auch ein offenes Port, glaube bin hier kein experte um dort die Möglichkeiten zur beurteilen.

 

[Hans Juergen]

Die Forderung nach der Titeländerung ist ja wohl nicht dein Ernst.

Eine sachliche (!) Änderung wäre schon richtig. Damit könnten Suchende nicht fehlgeleitet werden... Der momentane Titel ist ja überholt...

 

[csmulo]

Sachlich OK, aber nicht die geforderte unsachliche!

 

[henry90]

Auch ist immer noch unklar, ob der Fernzugriff nach erfolgtem Sicherheits-Update jetzt wieder aktiviert werden kann oder nicht.

Kann lt. AVM-email wieder aktiviert werden, letzter Satz:

08. Februar 2014
News Produkte Download Service



Sicherheits-Update für Ihre FRITZ!Box verfügbar - bitte installieren!

Sie erhalten diese Nachricht als Nutzer des AVM MyFRITZ!-Dienstes über Ihre dort eingetragene Mailadresse.

AVM hat ein Sicherheits-Update für Ihre FRITZ!Box bereitgestellt, dass weitere Angriffe verhindert. Wir empfehlen dringend, dieses Update durchzuführen.

In zwei Schritten zum Update:

Rufen Sie die Benutzeroberfläche der FRITZ!Box auf. Geben Sie dazu in Ihrem Internetbrowser fritz.box ein.
Klicken Sie im Menü "Assistenten" auf "Update" und folgen den Anweisungen

Falls Sie zuvor den Fernzugriff verwendet haben, ist nicht auszuschließen, dass Zugangsdaten und weitere Passwörter entwendet wurden. AVM empfiehlt dringend, alle mit der FRITZ!Box zusammenhängenden Passwörter und Zugangsdaten zu erneuern. Dazu zählen beispielsweise das Kennwort für das im Push-Service verwendete E-Mail-Konto oder das Kennwort für frei nutzbare VoIP-Anbieter wie Sipgate.

Eine Anleitung dazu finden Sie auf den AVM-Sicherheitsseiten.

Wir bedauern die damit verbundenen Unannehmlichkeiten und die vorübergehend entstandenen Einschränkungen. Nach dem Update können Fernzugriff und MyFRITZ! wieder sicher eingesetzt werden.


Mit freundlichen Grüßen

AVM GmbH

 

[Bowser]

Hallo,

ich habe gerade auch die Passwörter geändert, die auf der AVM-Sicherheitsseite stehen.
Was dort fehlt (aber auch im Router ist):

Das Kennwort für den Internetzugang

Ist dieses nicht betroffen und muss nicht geändert werden??

 

[pumana]

Ich denke mit dem Passwort für den Internetzugang kann man nicht viel anfangen...

 

[KunterBunter]

Das denke ich auch. Es sei denn, man hat auch die Zugangskennung dazu ausgelesen.

 

[aquanostra]

AVM kann sich die neue Software für die 7390 A/CH behalten. Ich verzichte so lange auf den Fernzugang und bleibe bei OS 05.51, bis die Windows-Netzwerkfreigaben wieder vorhanden sind.

 

[blieni]

Hallo

ich habe 2 x 7390 soeben auf OS6.03 über die automatic upgedated

FB in Südafrika mit annexA problemlos..keine Auffälligkeiten..VPN,Myfritz;smarthome..alles ok
FB Deutschland über VPN beim 2ten Versuch . 1ster Versuch sagte, das die angebotene Firmware nicht geeignet ist, aber ich sie installieren kann! Ich hatte original 1und1 (UI) branding.
Danach war weiterhin OS6.00 vorhanden.. erneut update inizialisiert..alles OK branding weiterhin UI

 

[koyaanisqatsi]

Soeben die Fritz!OS 6.03 für die 7360SL und 6.04 (BETA) für die 7270v2 Onlinegeupdatet.

 

[Nomax2000]

Laut Facebook Meldung gibt es Mittlerweile Updates für:

Unsere Entwicklung hat heute nochmals unermüdlich gearbeitet. Für folgende FRITZ!Box-Modelle gibt es jetzt ein Update:
FRITZ!Box 7490
FRITZ!Box 7390
FRITZ!Box 7362 SL
FRITZ!Box 7360
FRITZ!Box 7360 SL
FRITZ!Box 7330 SL
FRITZ!Box 7330
FRITZ!Box 7320
FRITZ!Box 7312
FRITZ!Box 7272
FRITZ!Box 7270 v2/v3
FRITZ!Box 7240
FRITZ!Box 6842
FRITZ!Box 6840
FRITZ!Box 6810
FRITZ!Box 3390
FRITZ!Box 3370
FRITZ!Box 3272
Und bei den internationalen Modellen ist das der aktuelle Stand:
FRITZ!Box 7490
FRITZ!Box 7390
FRITZ!Box 7360
FRITZ!Box 7340
FRITZ!Box 7330
FRITZ!Box 7272
FRITZ!Box 7270 v2/v3
FRITZ!Box 3390
FRITZ!Box 3370
FRITZ!Box 3272
FRITZ!Box 3270
Bleibt aktuell unter:
http://www.avm.de/de/Sicherheit/hinweis.html

 

[Emilmutzke]

Zum Titel: Bitte ändern. Der ist ja nun wirklich überholt.

Mir hat die Sache auch einiges an Aufwand abverlangt: Bei allen ferngewarteten Boxen erst mal die Fernwartung abschalten. Bei den Boxen mit DNS-Eintrag wegen VPN kein Problem. Eine erst vor 6 Wochen von einem miesen Provider aus Berlin erhaltene FritzBox 7170 hat dann aber doch Nerven gekostet, da die Besitzer nicht mit dem Browser und der Tastatur zurecht kamen, auch nicht mehr wussten, wie man eine Mail schickt.

Login über fritz.box-Bookmark im Firefox: 503 Interner Serverfehler zu wenig RAM oder so ähnlich.
Login über IP: Selbes Ergebnis.
Schließlich per WWW die IP-Adresse feststellen lassen und Fernwartung genutzt.
Nach erfolgtem Fernwartungs-Login mit Benutzernamen und Passwort: 503 Interner Serverfehler, wie beim Lokalen Login.
Es half nur: Stecker ziehen! Natürlich mit dem Nachteil, dass das Ereignislog fort war! Sehr ärgerlich! Man kann also nicht nachvollziehen, was los war.

Die Box durchstöbert: In den letzten 14 Tagen keine seltsamen Anrufe entdeckt. Kein IP-Telefon gefunden. Aber: Festnetz mit ISDN war aktiviert, obwohl das ein reiner NGN-Anschluss ist! Ich hatte das vor ein paar Wochen bestimmt so nicht eingerichtet!
Es war aber anschließend ein Tele*iker dort, weil der Provider das nach 2 Wochen ohne Nutzung unbedingt so haben wollte, obwohl es jetzt ja ging.
Keine Ahnung, ob die das Login-Passwort wussten und dem gesagt haben, sodass er da etwas hätte verstellen können. Die können sich natürlich nach 4 Wochen an absolut nichts mehr erinnern.

Fragen, die sich jetzt stellen:

Kann der Serverfehler durch einen misslungenen Hack von außen verursacht worden sein? Oder gar absichtlich herbei geführt worden sein, um den Zugriff zu verschleiern?

Können Zugangsdaten aus dem Internet ausgelesen worden sein? Hier im Forum habe ich nur die Telnet-Methode gefunden, da die Passwörter verschlüsselt gespeichert sind. Gibt es vielleicht auch eine Möglichkeit von außen? Oder können die vielleicht per https die Daten auslesen und dann entschlüsseln?

Ist die 7170 überhaupt betroffen, oder nur neue Boxen mit FritzOS?

 

[SnoopyDog]

Daß es in den Firmwares eine Sicherheitslücke gab, mit der man die Authentifizierung der Box umgehen konnte mag ja sein. Aber um so weit zu kommen, daß man diese Sicherheitslücke aktiv ausnutzen kann, benötigt man Zugriff auf eine physikalisch vorhandene Box. Wenn sie bei myfritz.net registriert ist, gibt es 2 Möglichkeiten, um auf die Box zu kommen:

1. Man loggt sich im Browser bei myfritz.net mit Mail-Adresse ( = username ) und Paßwort ein und wird zur Fritz!box-Einstiegsseite mit Login weitergeleitet.

2. Man verwendet direkt die pseudo-obskure Subdomain von myfritz.net, auf die man in Schritt 1. weitergeleitet wird - diese wird auch in der Web-Oberfläche der Box angezeigt.

Um Punkt 1 auszuführen braucht man eine gültige Kombination von E-Mail und Paßwort, um Punkt 2 auszuführen eine URL der Form https://abcd1234.myfritz.net.

Ich frage mich nun, woher haben die Hacker diese Informationen?

Punkt 1 könnte durch die letztlich erbeuteten Zugangsdaten denkbar sein, allerdings nur bei Benutzern, die für myfritz dieselbe Kombination von Mail und Paßwort wie in den erbeuteten Daten verwenden. In der Fülle dieser Daten einen myfritz User zu finden und dann auch noch einen, der genau dieses Paßwort verwendet, halte ich
für ein wenig unwahrscheinlich.

Punkt 2 könnte durch wildes "Ausprobieren" von Subdomains denkbar sein, aber dies sollte doch irgendwann auffallen.

Wie haben die Hacker also nun die URLs von Fritz!boxen ausfindig gemacht, um dann erst im zweiten Schritt die Sicherheitslücke in deren Firmware auszunutzen?

 

[johnripper]

Doppelpost:
http://www.heise.de/netze/news/foren/S-Re-Trotzdem-frage-ich-mich/forum-274488/msg-24758201/read/

 

[robert78]

ihr wisst ja das es eine Suchmaschine gibt die Perma nach solchen Sachen scannt ? so "nMap" für die Maße.

zum teil mit fertigen Hacks wie man Sachen im netz findet.

Gruß

 

[koyaanisqatsi]

Solange mit Google und site:myfritz.net Fritz!Boxen gefunden werden,
brauchts keine Portscans, nur die Sicherheitslücke.
Wäre da nicht an richtiger Stelle ein simples noindex, nofollow angebracht?
Damit der Googlebot seine Finger von den Boxen läßt.