[Info] 17.2.2014 Hack gegen AVM-Router auch ohne Fernzugang (heise.de)

voipd

IPPF-Promi
Mitglied seit
5 Mai 2005
Beiträge
3,183
Punkte für Reaktionen
1
Punkte
38
Nachdem alle Welt geglaubt hat, dass der AVM Hack mit dem abstellen des Remotezugriffes, bzw. mit dem Update der Firmware erledigt sei, stellt sich heraus, dass man auch einen Angriff von innen auf die Fritzboxen machen kann.

Dementsprechend muessen sich evtl. auch die Nutzer von aelteren *) FritzBoxen nun Sorgen machen? Was tun? Wir alle wissen es noch nicht.
Edit 19.2.2014: Jetzt wissen wir es. Sie brauchen sich keine Sorgen machen. AVM hat eine Liste aller jeweils gebauter Fritzboxen mit Sicherheitsstatus veroeffentlicht. Die Frage nach den OEM (Telekom) Boxen ist aber noch offen.
Edit: Vorlaeufige Antwort: heise.de 17.2.2013 17:24 Fritzbox-Lücke: Vier Speedport-Modelle der Telekom betroffen


Hier aber die Infos aus dem Internet:


heise.de: 17.02.2014 15:58: Jetzt Fritzbox aktualisieren! Hack gegen AVM-Router auch ohne Fernzugang
Die Analyse von heise Security beweist, dass keineswegs ein freigeschalteter Fernzugang erforderlich ist, um eine Fritzbox komplett zu kapern. Das kann im Prinzip eine einfache Web-Seite. Wer es noch nicht getan hat, sollte also schleunigst updaten.

avm.de: AVM Pressemitteilung von vor ein paar Minuten:
Sicherheits-Update für alle FRITZ!Box-Benutzer
In Medien- und Forenberichten wird aktuell über weitere mögliche Angriffswege auf die FRITZ!Box spekuliert. Aufgrund der laufenden Ermittlungen und um Nachahmungen zu vermeiden, kann AVM diese Berichte nicht kommentieren. Wie bereits informiert, fanden Angriffe auf die FRITZ!Box ausschließlich von außen über Port 443 statt. Nachdem die Angriffe bekannt wurden, hat AVM innerhalb weniger Stunden ein entsprechendes Sicherheits-Update für die FRITZ!Box bereitgestellt. Gleichzeitig wurde allen Anwendern, unabhängig vom aktivierten Fernzugriff, empfohlen, dieses Update durchzuführen. Es bietet den besten Schutz vor potenziellen Angriffen. Unter avm.de/sicherheit finden Sie Tipps zum Update und eine entsprechende Anleitung.

spiegel.de: Experten-Warnung: Fritzbox-Sicherheitslücke gefährlicher als gedacht
Wer es noch nicht getan hat, sollte spätestens jetzt seine Fritzbox aktualisieren. Die Sicherheitslücke in den beliebten Routern ist gefährlicher als bisher angenommen. Das bisher empfohlene Abschalten des Fernzugriffs genügt keineswegs, um Angriffe abzuwehren.

Das bisherige Thema, also der Port 433 (Fernzugriff) Hack wird hier Diskutiert: Telefonie-Missbrauch (anscheinend doch) Massenhack von AVMs Fritzboxen


Also bitte mal alle wachwerden die sich bisher nicht angesprochen gefuehlt hatten. :doktor: Edit 19.2.2014: Nach pruefen der AVM Liste und evtl. Update kann man sich nun wieder hinlegen. ;)


voipd.

PS: Mit Novice so abgestimmt.

*) Aeltere Fritzboxen sind die Boxen die kein Update bekommen haben, aber auch OEM Boxen die beispielsweise von der Telekom vertrieben wurden.
 
Zuletzt bearbeitet:

fibco

Mitglied
Mitglied seit
5 Jun 2004
Beiträge
258
Punkte für Reaktionen
3
Punkte
18
War vorhin im ICE und - als ich gerade auf tagesschau.de die 20 Uhr Ausgabe 'nach-gucken' konnte - etwas überrascht, dass das dort kein Thema war ;-)
 

HabNeFritzbox

IPPF-Urgestein
Mitglied seit
12 Dez 2017
Beiträge
15,727
Punkte für Reaktionen
280
Punkte
83
AVM hat ja auch keine Steuer hinterzogen und es ist ist ja kein Kanzleramt betroffen oder so. ;) Edit: Bei N24 gibt es was dazu.

Bleibt also erstmal nur abwarten, und schauen wann es weitere Fixes gibt. Immerhin macht AVM relativ Zeitnah etwas. :)
 
Zuletzt bearbeitet von einem Moderator:

Centauri39

Mitglied
Mitglied seit
4 Jun 2006
Beiträge
333
Punkte für Reaktionen
0
Punkte
16
Sind denn auch Fritzboxen ohne Fon-Funktion gefährdet?

Ich hab eine FB WLAN 3270 v3.

Inzwischen hab ich das Update drauf (auf 05.54), MyFritz ist deaktiviert, ebenso der Fernzugriff über HTTPS (Port 443).
Alle Passwörter sind geändert und einen Bereich "Telefonie" hab ich eh nicht (da war also auch nichts zu deaktivieren).

Und jetzt soll ich laut einem Schreiben von 1&1 bei denen anrufen, um gesperrte Auslands-Telefonate wieder zu entsperren.
Sollte mich das eigentlich interessieren, wenn ich eh nicht ins Ausland telefoniere?
Dann könnte ich die Sperrung doch behalten, oder?

Wenn die gewohnte E-Mail-Adresse und deren Passwort für MyFritz ungeeignet sind, was sollte man denn dann nehmen?
Mein E-Mail-Passwort ist auch schon geändert, natürlich auch überall, wo die Adresse zum Einsatz kommt.

EDIT:
Inzwischen hab ich den Fernzugriff und MyFritz wieder aktiviert, aber mit einem vom Standard-Port abweichenden Port und mit den zuvor beschriebenen Änderungen.
Ist das jetzt vorläufig ausreichend?
 
Zuletzt bearbeitet:

voipd

IPPF-Promi
Mitglied seit
5 Mai 2005
Beiträge
3,183
Punkte für Reaktionen
1
Punkte
38
AVM hat ja auch keine Steuer hinterzogen und es ist ist ja kein Kanzelamt betroffen oder so. ;) Edit: Bei N24 gibt es was dazu.
Bleibt also erstmal nur abwarten, und schauen wann es weitere Fixes gibt. Immerhin macht AVM relativ Zeitnah etwas. :)
Stimmt, 10 Millionen Benutzer sind egal, solange es nicht Mutti trifft, aber was mich wirklich interessiert ist, welche Boxen betroffen sind.

Ehrlich gesagt verstehe ich, wenn man fuer die 10 Jahre alten Boxen kein Update bereitstellt, aber ich moechte "nur" wissen ob meine (betreuten) Boxen betroffen sind und ob es einen Workaround (evtl. manuelle Configaenderung) gibt. Wenn das zuegig passieren wuerde waere das schon prima

Anders gesagt: Muss ich handeln?

voipd.
 
Zuletzt bearbeitet:

Novize

Moderator
Teammitglied
Mitglied seit
17 Aug 2004
Beiträge
21,051
Punkte für Reaktionen
109
Punkte
63
Bitte beim Thema bleiben, sonst wird's schnell so unübersichtlich, wie im anderen Thread. ;)
 

fibco

Mitglied
Mitglied seit
5 Jun 2004
Beiträge
258
Punkte für Reaktionen
3
Punkte
18
Ich find', bei der nun erschreckend großen Reichweite, ist das Posting von voipd mitten im Thema, mit Verlaub.

Edit: Sehe gerade, dass sich das vermutlich auf den zeitlichen Vor-Poster bezog.
 
Zuletzt bearbeitet:

Centauri39

Mitglied
Mitglied seit
4 Jun 2006
Beiträge
333
Punkte für Reaktionen
0
Punkte
16
Alle Boxen, für die bei der Update-Prüfung ein verfügbares Update gemeldet wird, sind wohl auch betroffen.

Ich denke, mehr als das Update zu installieren und einen anderen Port für den Fernzugriff zu wählen, kann man eh nicht machen.
Natürlich sind auch noch alle Passwörter zu ändern.

Ansonsten hilft wohl nur die "Holzhammer-Methode", d.h. die FB abstöpseln und offline bleiben.
 

hans75

Neuer User
Mitglied seit
2 Mai 2009
Beiträge
55
Punkte für Reaktionen
0
Punkte
0
Ich habe den Fernzugriff und alles was mit der Telefonfunktion zu tun hat schon immer entfernt gehabt (7170), das Update sollte ich trotzdem machen, oder?
 

JanVoIP

Mitglied
Mitglied seit
25 Aug 2005
Beiträge
299
Punkte für Reaktionen
0
Punkte
16
Es gibt aber z.B. die 7240 für die es bislang kein Update gab. - Ich gehe trotzdem davon aus, dass sie gefährdet ist.
 

Novize

Moderator
Teammitglied
Mitglied seit
17 Aug 2004
Beiträge
21,051
Punkte für Reaktionen
109
Punkte
63
...das Update sollte ich trotzdem machen, oder?
Selbstverständlich, denn nach dem Statement von heise kann nun jeder Benutzerzugang, jedes Passwort, welches in Deiner Box schlummert ausgelesen werden - zumindest über gehackte Web-Sites von innen heraus!
 

Daniel Lücking

IPPF-Promi
Mitglied seit
18 Apr 2008
Beiträge
3,611
Punkte für Reaktionen
164
Punkte
63
Interessant:

Derzeit werden Boxen bis zum End of Manufacturing / End of Support in 2007 mit Updates versehen. Dabei sind alle neueren Reihen - die älteren aber bisher nur im Bereich der 7xxx - Serie. Keine Updates für 2xxx oder 5xxx .... Zufall? Bauartbedingt?
 

Centauri39

Mitglied
Mitglied seit
4 Jun 2006
Beiträge
333
Punkte für Reaktionen
0
Punkte
16
Sind schon irgendwelche Seiten bekannt, die man besser meiden sollte?
Oder sind das Seiten, auf denen ein anständiger User eh nichts verloren hat?
 

Novize

Moderator
Teammitglied
Mitglied seit
17 Aug 2004
Beiträge
21,051
Punkte für Reaktionen
109
Punkte
63
Jede Seite, die entweder gehackt ist, die per Werbung (evtl gehackt) ihren Unterhalt verdient oder eh komisch ist.
Kurz: (Fast) Jede Web-Site kann es betreffen.
 

Spacefish

Neuer User
Mitglied seit
12 Mai 2007
Beiträge
18
Punkte für Reaktionen
0
Punkte
0
Ach kommt schon die heise Leute wollen nur etwas publicity.. Das von denen gezeigte Szenario ist nicht wirklich einfach durchführbar, da der Angreifer das Opfer erst auf eine Seite locken müsste, welche eine Ressource einbettet, da als Adresse für fritz.box/cgi-bin/sagichnet?parameter=shellcode enthält.

Das kann man mit wenigen machen indem man Bilder in Foren einbettet oder so. Aber die große masse erreicht man so nicht!
 

Centauri39

Mitglied
Mitglied seit
4 Jun 2006
Beiträge
333
Punkte für Reaktionen
0
Punkte
16
@ Novize
Und wenn ich Werbung blocke (im Firefox mit ABP), könnte es mich trotzdem noch erwischen?
 

edward

Mitglied
Mitglied seit
8 Jul 2004
Beiträge
313
Punkte für Reaktionen
0
Punkte
16
Ich finde auch, dass jetzt etwas Panik von Medien verbreitet wird und diese Lücke zu hoch bewertet wird.

Wieviele User werden auf so eine präparierte Seite schon surfen? wenn die Hacker selbst aktiv werden konnten und sukzessiv IP's mit Fernwartung scannen.
 

Novize

Moderator
Teammitglied
Mitglied seit
17 Aug 2004
Beiträge
21,051
Punkte für Reaktionen
109
Punkte
63
Und wenn ich Werbung blocke (im Firefox mit ABP), könnte es mich trotzdem noch erwischen?
Klar doch, denn z.B. über einen gehackten Ad-Server oder einen gehackten Server-Zugang*) zur Website können die html-Dateien leicht modifiziert werden, um dann den "heise-Code" in abgewandelter Form zu enthalten.
Da hilft lt. diesem Foreneintrag von ju von heise noch nicht einmal das Addon "noscript" für den Firefox, weil sie betreffenden Infos direkt via html ausführbar sind.

@edward: Panik verbreiten ist vielleicht etwas über das Ziel hinaus geschossen.
Es ist bisher noch nicht in größerem Umfang Schaden angerichtet. Aber wenn sich die Lücke mit ihren Details weit genug herumgesprochen hat und entsprechende Hacks herum gehen, dann kann jeder bescheuerte Script-Kiddie das machen und da lauert dann eine recht große Gefahr...

*) Wieviele Seiten werden über das komfortable Plesk-Panel gewartet?
Dies ist in recht vielen Versionen gehackt und lässt sich leider nicht immer updaten. Diese Erfahrung habe ich von einigen Kunden und deren Admins berichtet bekommen. Irgendwann stellt der Hoster dann den Server kalt weil der laut deren Monitoring gehackt ist. Leider ist dann das Kind schon längst in den Brunnen gefallen, weil dieses Monitoring erst anschlägt, wenn die verdächtigen Aktivitäten deutlich messbar sind.
Wie gut, dass ich damit nichts mache sondern "nur" in anderen Bereichen aktiv bin...
 
3CX

Statistik des Forums

Themen
235,334
Beiträge
2,059,475
Mitglieder
355,968
Neuestes Mitglied
Bilderpaul