Fremdzugriff auf eine Fritz!Box - wie konnte das geschehen?

[Koch361]

Hallo,
ich verwalte eine Fritz!Box 7490 über einen Fernzugriff (ich habe aber auch die Möglichkeit, lokal an die Box zu kommen).
Insgesamt gibt es 3 Benutzer:
2x ein Nutzer "der alles darf" (einer ist nur lokal freigeschaltet, der 2 Online)... Beide Benutzer sind mir und nur ich kenne das Passwort.
1x ein Benutzer, der nur Zugriff auf die Telefoniefunktion hat.

Myfritz wurde auf meine E-Mail registriert (nur ich kenne die Zugangsdaten).

Plötzlich bekam ich zu Hause eine E-Mail von Myfritz, in der ich gefragt wurde, ob ich das Kennwort für die Fritz!Box vergessen habe (die E-Mail ist echt, allerdings habe ich Sie nicht angefordert).

Mir ist das alles sehr merkwürdig vorgekommen und ich dachte mir folgendes: Schalte dich mal kurz auf die Box auf und schau mal was da los ist...

Es wurde sich bereits mit meinen Nutzer (aus dem Lan allerdings) sich an der Fritz!Box angemeldet.

Wie kann ich den herausfinden, wie dieser Zugriff stattfinden konnte?


LG von Koch361

 

[NDiIPP]

Aus dem LAN heraus ist das kein Problem. Zumindest wenn man physikalischen Zugang zur Box hat (Zugang zu einem der LAN-Ports der Fritzbox reicht aus, dieser muss auch nicht direkt sein, kann auch über einen separaten WLAN-AP und somit WLAN erfolgen, bei einer 7490 braucht man noch nicht einmal die Stromzufuhr zu unterbrechen, wenn man anderweitig einen Soft-Reboot veranlassen kann), kann man die Passwörter aus der Box (entschlüsselt) auslesen. Wenn man einmal weiß wie das geht, kommt einem das sogar vergleichsweise trivial/einfach vor und ist schnell gemacht.

 

[Koch361]

@NDilPP
Die ganzen Logs sind noch vorhanden, daher schließe ich solch einen Weg fast aus??
Gibt es eine Möglichkeit herauszufinden, wie der Zugriff stattgefunden hat ?

 

[NDiIPP]

Wenn du einen Reboot ausschließen kannst, dann zumindest für diesen Weg wohl ja. Es sei denn die Daten wurden schon mal vor längerer Zeit ausgelesen (und ggf. erst jetzt verwendet)...

Gibt es eine Möglichkeit herauszufinden, wie der Zugriff stattgefunden hat ?

Wenn er lokal über (W)LAN erfolgte wohl kaum. Zumindest wenn die IP-Adresse nicht ausreicht.

 

[PeterPawn]

Die "Kennwort vergessen"-Funktion generiert auch nur eine Session im Namen eines administrativen Benutzers (mit der IP-Adresse des Gerätes, von dem dieser "Kennwort vergessen"-Aufruf kam als "minimales" Sicherheitsmerkmal) und packt einen Link auf ebendiese Session in die Mail.

Soweit ich das bisher gesehen habe, gibt es auch keinen entsprechenden Eintrag im Event-Log, daß eine solche Nachricht versandt wurde - damit findet man (zumindest mit "normalen Mitteln") auch nicht mehr heraus, als danach in der Anmeldenachricht im Event-Log steht ... nämlich Datum/Uhrzeit, IP-Adresse und Benutzername für diese Anmeldung.

 

[Koch361]

Die "Kennwort vergessen"-Funktion generiert auch nur eine Session im Namen eines administrativen Benutzers (mit der IP-Adresse des Gerätes, von dem dieser "Kennwort vergessen"-Aufruf kam als "minimales" Sicherheitsmerkmal) und packt einen Link auf ebendiese Session in die Mail.

Verstehe ich richtig, dass in den Logs zwar ein Zugriff steht, jedoch keiner stattgefunden hat?

Anbei mal die Logs.

 

[PeterPawn]

Verstehe ich richtig

Selbstverständlich nicht ... es gab eine Anmeldung von der IP-Adresse 192.168.188.30 an der besagten Box. Nur die Frage, wie der-/diejenige, der/die sich da anmeldete, an die verwendete Session-ID gelangte, läßt sich "forensisch" nicht immer klären, wenn zuviel Zeit seitdem vergangen ist, denn viele Daten werden nur in Ringpuffern gespeichert und durch neuere Daten dann überschrieben.

Vermutet man - wie hier - einen unberechtigten Zugriff, sollte man als Allererstes immer die Support-Daten der Box extrahieren ... darin sind schon viele Infos zu finden. Zum Beispiel die, wann die Mail genau verschickt wurde (backendmails) oder wann da welche Anmeldungen versucht wurden (sson).

Ich wollte nur darauf hinweisen, daß der "Auswahlprozess" für das Konto, das beim Erstellen dieser "Kennwort vergessen"-Mail freigeschaltet wird, nicht so 100% klar ist bzw. daß dazu auch in der Online-Hilfe bzw. der Knowledge-Base von AVM m.W. nichts zu finden ist: https://avm.de/service/fritzbox/fri...e-Benutzeroberflache-der-FRITZ-Box-vergessen/

Eines ist ja schon mal klar ... der ausgewählte Account muß/sollte administrative Rechte haben, damit er Einstellungen der Box auch ändern kann. Zwar wäre es theoretisch auch denkbar, daß man den Aufrufer das Benutzerkonto noch "vorgeben" läßt (immerhin stehen die bekannten Konten ja ohnehin in der Select-Box), aber wenn man sich den Request ansieht, der zum Generieren der E-Mail führt, merkt man auch schnell, daß da keine weiteren Parameter übergeben werden. Auch beim Einstellen der Funktion dieser Push-Nachricht läßt sich das Konto nicht auswählen. Es ist auch nicht die Reihenfolge, in der diese Konten in der "ar7.cfg" aufgeführt sind und auch nicht die Reihenfolge der Indizes in der "boxusers"-Auflistung des "ctlmgr".

Mir ist es bisher noch nicht gelungen, da ein System zu entdecken ... das einzige, zur "Authentifizierung" hier verwendete Merkmal ist die IP-Adresse, von der dieser Request ausgeht - mit dieser wird auch die automatisch generierte Session-ID verknüpft.

Nur ist das alles spätestens dann Makulatur, wenn sich im LAN noch ein kaskadierter Router mit NAT befindet ... JEDER Client, der sich hinter einem solchen Router befindet, verwendet dieselbe IP-Adresse beim Zugriff auf die (vorgeschaltete) FRITZ!Box.

Da das Generieren der Mail auch nicht weiter abgesichert ist (m.W. funktioniert das auch bei einem per WLAN verbundenen Client und auch bei eingeschalteter 2FA ohne eine solche Abfrage), braucht man halt nur den Zugriff auf das verwendete Postfach (hier verwendet AVM ja die Absenderadresse der Status-Mails als Empfänger der E-Mail) und die Chance, einen passenden Request an die Box zu senden:

vidar:/tmp $ curl --http1.0 --data 'xhr=1' --data 'pushmail=1' --data 'no_sidrenew=' --verbose http://192.168.178.1:80/index.lua
*   Trying 192.168.178.1:80...
* TCP_NODELAY set
* Connected to 192.168.178.1 (192.168.178.1) port 80 (#0)
> POST /index.lua HTTP/1.0
> Host: 192.168.178.1
> User-Agent: curl/7.67.0
> Accept: */*
> Content-Length: 29
> Content-Type: application/x-www-form-urlencoded
>
* upload completely sent off: 29 out of 29 bytes
* Mark bundle as not supporting multiuse
* HTTP 1.0, assume close after body
< HTTP/1.0 200 OK
< Cache-Control: no-cache
< Connection: close
< Content-Type: application/json; charset=utf-8
< Date: Mon, 24 Feb 2020 21:57:01 GMT
< Expires: -1
< Pragma: no-cache
< X-Frame-Options: SAMEORIGIN
< X-XSS-Protection: 1; mode=block
< X-Content-Type-Options: nosniff
<
* Closing connection 0
{"code":0}
vidar:/tmp $

... den aber zumindest von der LAN-Seite. Danach kann man die E-Mail mit der generierten Session-ID aus dem Postfach auslesen und sich mit dieser Session-ID in der Box vergnügen ... diese Session ist nicht darauf limitiert, ein neues Kennwort zu setzen und eine solche Aktion wird auch nicht wirklich erzwungen (die Weiterleitung per URL auf die Benutzer-Seite ist mehr ein "Vorschlag"). Damit fällt auch die Option weg, daß JEDER Benutzer es bemerkt, daß an seinem Konto "manipuliert" wurde ... selbst im Event-Log sieht ein solches "Kennwort vergessen"-Login wie jede andere, normale Anmeldung aus.

BTW/EDIT:
Mit der Funktion, diese "Kennwort vergessen"-Mail jetzt auch über das MyFRITZ!-Konto zuzustellen (per Aufruf über "webservice.myfritz.net"), verdoppelt AVM natürlich auch die Angriffsfläche auf E-Mail-Konten - es werden dann halt zwei E-Mails mit der generierten Session-ID verschickt und nicht immer muß ja zwingend das verwendete (E-Mail-)Konto für den MyFRITZ!-Account und das "Absender-Konto" der FRITZ!Box identisch sein.

Ja, es ist sogar nicht immer gesagt, daß die Personen mit Zugriffsberechtigung auf diese E-Mail-Konten dieselben sind und auch AVM erhält auf diesem Weg natürlich Kenntnis von der generierten Session-ID. Ich habe auch keine Einstellung gefunden, bei aktiviertem MyFRITZ!-Account und aktivierter "Kennwort vergessen"-Funktion den Versand über den AVM-Service zu blockieren ... da bleibt einem nur, komplett auf MyFRITZ! zu verzichten oder damit zu leben, daß wieder jeder mit Zugriff auf das MyFRITZ!-Konto und das LAN problemlos zu einem administrativen Zugang zur FRITZ!Box kommen kann.

Oder eben gleich die komplette "Kennwort vergessen"-Funktion konsequent abschalten (so mache ich es schon länger) ... sollte man tatsächlich mal das Kennwort vergessen haben, gibt es noch andere Wege: FRITZ!Box-Kennwort vergessen ... was nun? (Mail-)Recovery a la AVM oder besser nicht?

 

[Koch361]

Danke für Deine Antwort. Jetzt kann ich allerdings nicht mehr mitreden..

braucht man halt nur den Zugriff auf das verwendete Postfach

Ich bin mir zu 100% sicher, dass das nicht passiert ist.

Was ich im Log nicht verstehe: In der gleichen Sekunde, wo ein Login stattgefunden hat, wurde schon eine Einstellung geändert. Wie ist so etwas nur möglich?

Ich zerbreche mir da echt den Kopf dran.....

-- Zusammenführung Doppelpost by stoney

Die Fritz!Box hängt direkt an der DSL Leitung. Also ohne Modem dazwischen.

-- Zusammenführung Doppelpost

Mit der Funktion, diese "Kennwort vergessen"-Mail jetzt auch über das MyFRITZ!-Konto zuzustellen (per Aufruf über "webservice.myfritz.net"), verdoppelt AVM natürlich auch die Angriffsfläche auf E-Mail-Konten - es werden dann halt zwei E-Mails mit der generierten Session-ID verschickt und nicht immer muß ja zwingend das verwendete (E-Mail-)Konto für den MyFRITZ!-Account und das "Absender-Konto" der FRITZ!Box identisch sein.

Da hast Du recht! Die Mails sind nicht identisch. Ich habe mal die beiden Postfächer in der Login-Historie geprüft.... Nichts, alles safe.

Hast Du sonst noch eine Idee?
Danke für Deine Mühe.

 

[PeterPawn]

Es ist nie zu spät (oder nur sehr selten), die Support-Daten zu sichern.

Außerdem sollte sich ja ermitteln lassen, welches Gerät denn nun die 192.168.188.30 verwendet hat zum fraglichen Zeitpunkt. Das muß ja nicht zwingend eine Person gewesen sein, die diese Mail ausgelöst hat ... und wenn ich das richtig in Erinnerung habe, kommt die Event-Log-Message mit der Anmeldung auch schon in dem Moment, wo die E-Mail generiert wird.

Wenn da also nur ein Programm (oder eine Malware auf einem Smartphone/Tablet) die E-Mail getriggert hat (die ja SOFORT die Anmeldung nach sich zieht, sonst gäbe es keine SID, die man verschicken kann) und deren Inhalt DEFINITIV vertraulich geblieben ist (in beiden Postfächern und auch auf dem Transportweg dorthin), dann würde das unter Umständen genauso aussehen und man bräuchte sich keine Sorgen weiter zu machen. Nur sind das einige "wenns" ... und Vorbeugen ist bekanntlich besser als Nachhintenfallen.

 

[Koch361]

@PeterPawn
Können die Support Daten über den Fernzugriff erstellt werden ?

 

[HabNeFritzbox]

Ja, einfach unten links auf Inhalt, dann unten auf Support.

Anscheint ist Passwort von der jule nicht wirklich sicher, wenn es nach wenigen Versuchen schon mit Erfolg verbunden wurde.

Wer Fernwartung aktiviert, muss mit sowas rechnen, besonders wenn man Standardports verwendet wie 443.

 

[armin56]

Wenn man sich das Logfile ansieht, so hat doch der User *okal aus dem LAN 5 mal erfolglos versucht sich anzumelden (falsche Kennwort) danach wurde versucht vom gleichen Endgerät sich mit der Kennung *handy anzumelden, was auch nicht funktioniert hat. Erst dann kam der User jule zum Zug. Alles innerhalb von 7 Minuten.

 

[Koch361]

Wer Fernwartung aktiviert, muss mit sowas rechnen, besonders wenn man Standardports verwendet wie 443.

Über den Standardport, läuft das nicht. Auch hat über die Fernwartung, kein Zugriff stattgefunden!

Anscheint ist Passwort von der jule nicht wirklich sicher, wenn es nach wenigen Versuchen schon mit Erfolg verbunden wurde.

Sorry... Ihr könnt mir glauben, dass Passwort ist sicher.
20Stellig und Kryptografisch.

 

[HabNeFritzbox]

Doch, in #6 dein Bild direkt erster Eintrag. IP mit 156. ist keine interne aus dem Netzwerk.

Solltest dir also mal lieber dass Handy von der Jule anschauen.

Wird gleiche Google Konto verwendet? Evt. könnte passwort über Drive zeugs dort rein gekommen sein.

 

[Koch361]

Doch, in #6 dein Bild direkt erster Eintrag. IP mit 156. ist keine interne aus dem Netzwerk.

Das war wirklich ich. Der Login ist i.O

Solltest dir also mal lieber dass Handy von der Jule anschauen.

Es gibt noch einen Nutzer Handy... Der Nutzer ist für die Telefonie und hat keine Admin Rechte

Wird gleiche Google Konto verwendet? Evt. könnte passwort über Drive zeugs dort rein gekommen sein.

Nein

Es ist nie zu spät (oder nur sehr selten), die Support-Daten zu sichern.

Ich habe nun die Support Daten. Was braucht Ihr genau?

 

[HabNeFritzbox]

Der Benutzer wird mehr Rechte haben.

Wenn es nur um Telefonie geht würde eher dort stehen:
Anmeldung der App FRITZ!App Fon (User-iPhone) von IP-Adresse 192.168.x.x.

 

[Koch361]

Der Benutzer wird mehr Rechte haben.

Nein, der Benutzer Handy hat nicht mehr Rechte wie Telefonie.

Warum glaubt mir den keiner?

 

[HabNeFritzbox]

Ich nutze nur Passwort, ohne Benutzer im Heimnetz.

Bei den Benutzern steht nichts konkret zur Weboberfläche, es darf sich also einfacher Benutzer auch einloggen, nur eben nicht alle Einstellungen ändern, jedoch eben so wie beschrieben "Sprachnachrichten, empfangene Faxe und die Anrufliste können abgehört bzw. angesehen werden. FRITZ!App Fon kann genutzt werden.".

Wird auf dem handy ne AVM App verwendet? z.B. MyFritz App oder so? Dass die Abfrage dort nur im Log falsch dargestellt wird als Zugriff auf Weboberfläche statt App Name dort steht.

 

[Koch361]

Bei den Benutzern steht nichts konkret zur Weboberfläche, es darf sich also einfacher Benutzer auch einloggen, nur eben nicht alle Einstellungen ändern, jedoch eben so wie beschrieben "Sprachnachrichten, empfangene Faxe und die Anrufliste können abgehört bzw. angesehen werden. FRITZ!App Fon kann genutzt werden.".

Bei dem Handynutzer ist das ja auch nicht schlimm.

Wird auf dem handy ne AVM App verwendet? z.B. MyFritz App oder so? Dass die Abfrage dort nur im Log falsch dargestellt wird als Zugriff auf Weboberfläche statt App Name dort steht.

Ja, genau. Der Nutzer Handy benutzt AVM Apps.