.titleBar { margin-bottom: 5px!important; }

massive Schwachstelle der Fritzbox

Dieses Thema im Forum "AVM" wurde erstellt von BrainyTheKing, 21 Sep. 2011.

  1. BrainyTheKing

    BrainyTheKing Neuer User

    Registriert seit:
    15 Juli 2008
    Beiträge:
    7
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo zusammen,

    ich wollte mal über ein Schwachstelle der FritzBox berichten die mir gestern aufgefallen ist. Meiner Meinung nach ist Sie ein no-Go seitens AVM, da sie sich sehr leicht verhindern lässt.

    Mit einem Freund habe ich ein Ping flood auf seine Fritzbox (7170) über das Internet durchgeführt. Das Ganze wurde nur mittels dem Windows Ping-Befehl gemacht. Die Paketgröße wurde auf 65000 Byte gesetzt.
    Ein Befehl mit 2 Parametern in der Windows-Konsole!!
    Ergebnis war nach ca. 2 Sekunden ein kompletter Restart seiner Fritzbox!
    Umgekehrt löst es auf meiner Fritzbox (7270) einen komplette Disconnect der Internetverbindung aus.
    Das Ganze wurde auf 2 weiteren 7170er getestet und bestätigt!

    Nun frag ich mich ob es wirklich sein kann, dass ich mittels eines einfachen Windows-Befehls eine fremde Internetverbindung trennen kann bzw. seine Fritzbox rebooten kann.

    Jeder einfache 20-Euro Router bietet das Feature "Ping von WAN ignorieren" oder eine Flood-Erkennung und die Fritzbox für fast 200¤ nicht???

    Eine Nachfrage beim AVM-Support wurde mit einem einfachen Satz beantwortet:
    "Die Entwicklung der 7170 ist abgeschlossen. Ihre Anfrage kann nicht mehr berücksichtigt werden!"

    Wie ist eure Meinung dazu?


    Grüße

    Sebastian
     
  2. BrainyTheKing

    BrainyTheKing Neuer User

    Registriert seit:
    15 Juli 2008
    Beiträge:
    7
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Nachtrag:

    Gerade nochmal getestet.
    Bei einem Kollegen reicht ein EINZIGER Ping Befehl mit 65000 Bytes für einen FB-Restart.
     
  3. akapuma

    akapuma Aktives Mitglied

    Registriert seit:
    2 Nov. 2008
    Beiträge:
    1,145
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Das versteh' ich nicht. Die 7170 ist ein aktuelles, noch in Produktion befindliches Gerät, welches nicht EOS (end of service) ist.

    Gruß

    akapuma
     
  4. BrainyTheKing

    BrainyTheKing Neuer User

    Registriert seit:
    15 Juli 2008
    Beiträge:
    7
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    [Edit frank_m24: Vollzitat vom Beitrag direkt darüber gelöscht, siehe Forumregeln.]

    Genau!
    Um so unverständlicher die Reaktion des AVM-Supports.
    Und es funktioniert auch bei meiner 7270!
     
  5. BrainyTheKing

    BrainyTheKing Neuer User

    Registriert seit:
    15 Juli 2008
    Beiträge:
    7
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #5 BrainyTheKing, 21 Sep. 2011
    Zuletzt bearbeitet: 21 Sep. 2011
    Support hin oder her.
    Was sagt ihr denn zu der Tatsache, dass man mit einem einfachen Befehl eine fremde Internetverbindung trennen / FB restarten kann??
    Die IP-Adresse kriegt man immer irgendwie (IRC, Teamspeak, ICQ, Foren etc.) raus.
    Das ganze funktioniert nach bisherigen Tests mit einer hohen Erfolgsquote.
    Es hängt sicherlich mit RAM-Belegung / CPU-Auslastung etc zusammen.

    Mir ist zwar bewusst, das man ICMP-Anfragen per Config-Edit mit einer Firewall-Regel blocken kann. Jedoch ist so ein Workarround a:wenig sinnvoll und b: nicht für normale User zugänglich.
     
  6. pete-patata

    pete-patata Mitglied

    Registriert seit:
    4 Nov. 2005
    Beiträge:
    364
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Hannover
    Das ping xxx.xxx.xxx.xx -l 65000 löst einen Neustart aus?
     
  7. BrainyTheKing

    BrainyTheKing Neuer User

    Registriert seit:
    15 Juli 2008
    Beiträge:
    7
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ich wollte es nicht so reinschreiben. Wenn es nicht beim ersten mal neustartet, dann mit -t laufen lassen.
    Das Ganze funktioniert aber nur über den WAN Port, nicht im LAN.
     
  8. pete-patata

    pete-patata Mitglied

    Registriert seit:
    4 Nov. 2005
    Beiträge:
    364
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Hannover
    Das einzige was bei mir an 7320er oder 7270er Boxen passiert, ist Zeitüberschreitung der Anforderung. Ein Ping ohne Größenangabe wird anschliessend beantwortet. Keine der Boxen legt einen Neustart hin, wie mir ein Blick in die Ereignisse zeigt.
    Vielleicht mache ich etwas falsch?
     
  9. BrainyTheKing

    BrainyTheKing Neuer User

    Registriert seit:
    15 Juli 2008
    Beiträge:
    7
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #9 BrainyTheKing, 22 Sep. 2011
    Zuletzt bearbeitet: 22 Sep. 2011
    Wie gesagt. Wir sind noch nicht ganz dahinter gestiegen. Ping von einem fremden Internetanschluss mit einer Paketgröße von 65000 Bytes.
    Das mit keine Antwort ist normal.

    Was nicht funktioniert ist ein Ping an die eigene Public IP, da der Ping direkt von der FB beantwortet wird.
     
  10. informerex

    informerex IPPF-Urgestein

    Registriert seit:
    20 Apr. 2005
    Beiträge:
    16,989
    Zustimmungen:
    31
    Punkte für Erfolge:
    48
    also die Aussage "Schwachstelle" ist ja ein bisschen reisserisch ;-)
    dir steht es doch frei, AVM erneut bzgl. der 7270 anzuschreiben bzw. dein bestehendes Ticket entsprechend abzuändern.

    Evtl. interessant wäre die verwendeten Firmware-Versionen der Boxen.
     
  11. BrainyTheKing

    BrainyTheKing Neuer User

    Registriert seit:
    15 Juli 2008
    Beiträge:
    7
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    [Edit frank_m24: Vollzitat vom Beitrag direkt darüber gelöscht, siehe Forumregeln.]
    Jeweils die aktuelle Firmware. Keine Labor-Version.
     
  12. andilao

    andilao IPPF-Promi

    Registriert seit:
    8 Juni 2006
    Beiträge:
    4,231
    Zustimmungen:
    18
    Punkte für Erfolge:
    38
    Die 7170 Firmware-Version 29.04.80 betrifft das nicht und die 29.04.87 hat von mir keine Produktiv-Freigabe. Auch bei keiner anderen FB konnte ich das reproduzieren.
    Könnte es sein, dass ein Teil der "Testumgebung" eine Vollauslastung per torrent war? Am besten, Du lieferst mal eine Beschreibung der kompletten Testbedingungen, also FW-Versionen, OS-Version, eingestellte MTU ...
     
  13. Cakebeisser

    Cakebeisser Neuer User

    Registriert seit:
    22 Sep. 2011
    Beiträge:
    1
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #13 Cakebeisser, 22 Sep. 2011
    Zuletzt bearbeitet: 22 Sep. 2011
    Hallo,

    ich bin der Besitzer der besagten Fritzbox

    Firmware 29.04.87, Telnet aktiviert, Wlan aktiviert, dahinter hängt noch ein linksys zum wlan verteilen, sonst keinerlei Änderungen. Ftp-Zugriff für Usbstick aktiv. ISP Arcor/Vodafone. Gekauft 2008/09. Dahinter Win7 Prof. alle Updates.

    Der Ping-Befehl war:
    ping meinedyndns.dyndns.org -t -l 65000 (und das Ganze zig mal in einer Batch hintereinander)

    Wir haben das Ganze jetzt mal mit einer andern Fb ausprobiert, gleiche Fw, auch auf die dyndns, allerdings sonst keine besonderen Settings, und schwupp: Absturz.

    Bei der 7270 führte das Ganze nur dazu, dass die Internetverbindung gekappt wurde.

    Edit: auf der Fb war zu dem Zeitpunkt keine Last, lediglich das Adminpanel war mit der Internetstatistik geöffnet um zu sehen ob der Traffic ankommt. Achja, Stromsparmodus ist auch an.
     
  14. Elsi29

    Elsi29 Aktives Mitglied

    Registriert seit:
    24 Dez. 2008
    Beiträge:
    2,801
    Zustimmungen:
    10
    Punkte für Erfolge:
    38
    Ort:
    Lingen
    Bei der FB 7390 gehts nicht.
     
  15. syncron

    syncron Mitglied

    Registriert seit:
    8 Sep. 2011
    Beiträge:
    294
    Zustimmungen:
    5
    Punkte für Erfolge:
    18
    Beruf:
    Heiratsschwindler
    Ort:
    Hier und da
    Yo,habs händisch und mit LOIC probiert,die 7390 hält sich wacker bei der angebene Paketgrösse,kein Restart oder sonstige Probs
     
  16. 3949354

    3949354 Guest

    Hallo,
    @Elsi29
    Kann ich hier bestätigen (nicht DynDNS, sondern Strato) FW: 84.05.07-20651. Keine Probleme.
     
  17. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    1
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Ich kann es ebenfalls auf keiner der 14 Boxen nachvollziehen, die ich in meinem Umfeld direkt erreichen kann. Da ist von 7050 - 7390 alles dabei.

    Die großen Ping Pakete kommen überhaupt nicht an, wie ich mit tcpdump überwachen kann. Ich schiebe das auf die Fragmentierung, die bei ICMP Paketen unüblich ist. Deshalb vermute ich, dass sie von den Internetroutern verworfen werden. ICMP Pakete werden generell mit niedrigerer Priorität geroutet. Von daher ist der Test an sich schon sehr zweifelhaft, wenn in einem Großteil der Fälle die fraglichen Pakete überhaupt nicht übermittelt werden.
    Zum Absturz konnte ich keine Fritzbox durch Pings bringen.
    Des weiteren: Die Option "-t" bei Windows sorgt lediglich dafür, dass der Ping dauerhaft weiterläuft. Ein Flood Ping ist das keinesfalls.

    In Anbetracht dieser Tatsache würde ich dafür plädieren, die Aufmachung des Threads weniger reißerisch auszugestalten. Von einer nachvollziehbaren Sicherheitslücke sind wir noch ein gutes Stück entfernt. Dafür muss erst mal eine wirklich reproduzierbare Testumgebung her, was "in der freien Wildbahn" Internet praktisch unmöglich ist. Man bräuchte ein Labor mit DSLAM Testaufbauten.

    Solange wir das nicht haben, müsste aber zumindest der Aufbau in den hier diskutierten Fällen näher bekannt sein. Aber daraus reproduzierbare Verhältnisse abzuleiten, halte ich ebenfalls für praktisch ausgeschlossen.

    Daneben: Auch in diesem Thread gelten die Forumregeln. Offtopic Beiträge habe ich entsorgt, Vollzitate bereinigt. Es trägt nicht unbedingt zur Seriosität einer solchen Meldung bei, wenn sie direkt von haufenweise Regelverstößen begleitet wird. Gerade in dem Umfeld sollte man doch wissen, wie wichtig das präzise Einhalten von Regeln und Syntax ist. Oder anders ausgedrückt: Wer schlampig an das Verfassen seiner Beiträge geht, wird auch sonst kaum sorgfältiger an seine Tätigkeiten herangehen. Das ist nicht unbedingt hilfreich in einem Fall wie diesem.
     
  18. scolopender

    scolopender Aktives Mitglied

    Registriert seit:
    13 Mai 2008
    Beiträge:
    2,298
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Stimmt. Im Titel steht ja auch "Schwachstelle".

    G., -#####o:
     
  19. George99

    George99 Aktives Mitglied

    Registriert seit:
    12 Dez. 2005
    Beiträge:
    1,591
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    Hannover
    ping IP_Adr -t -l 65000 auf meine 7170 mit neuester FW führt zu keinerlei Problemen. Ich kann sie währenddessen problemlos per VPN erreichen und durch die Menüs gehen.