massive Schwachstelle der Fritzbox

BrainyTheKing

Neuer User
Mitglied seit
15 Jul 2008
Beiträge
7
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

ich wollte mal über ein Schwachstelle der FritzBox berichten die mir gestern aufgefallen ist. Meiner Meinung nach ist Sie ein no-Go seitens AVM, da sie sich sehr leicht verhindern lässt.

Mit einem Freund habe ich ein Ping flood auf seine Fritzbox (7170) über das Internet durchgeführt. Das Ganze wurde nur mittels dem Windows Ping-Befehl gemacht. Die Paketgröße wurde auf 65000 Byte gesetzt.
Ein Befehl mit 2 Parametern in der Windows-Konsole!!
Ergebnis war nach ca. 2 Sekunden ein kompletter Restart seiner Fritzbox!
Umgekehrt löst es auf meiner Fritzbox (7270) einen komplette Disconnect der Internetverbindung aus.
Das Ganze wurde auf 2 weiteren 7170er getestet und bestätigt!

Nun frag ich mich ob es wirklich sein kann, dass ich mittels eines einfachen Windows-Befehls eine fremde Internetverbindung trennen kann bzw. seine Fritzbox rebooten kann.

Jeder einfache 20-Euro Router bietet das Feature "Ping von WAN ignorieren" oder eine Flood-Erkennung und die Fritzbox für fast 200¤ nicht???

Eine Nachfrage beim AVM-Support wurde mit einem einfachen Satz beantwortet:
"Die Entwicklung der 7170 ist abgeschlossen. Ihre Anfrage kann nicht mehr berücksichtigt werden!"

Wie ist eure Meinung dazu?


Grüße

Sebastian
 

BrainyTheKing

Neuer User
Mitglied seit
15 Jul 2008
Beiträge
7
Punkte für Reaktionen
0
Punkte
0
Nachtrag:

Gerade nochmal getestet.
Bei einem Kollegen reicht ein EINZIGER Ping Befehl mit 65000 Bytes für einen FB-Restart.
 
A

akapuma

Guest
Eine Nachfrage beim AVM-Support wurde mit einem einfachen Satz beantwortet:
"Die Entwicklung der 7170 ist abgeschlossen. Ihre Anfrage kann nicht mehr berücksichtigt werden!"
Das versteh' ich nicht. Die 7170 ist ein aktuelles, noch in Produktion befindliches Gerät, welches nicht EOS (end of service) ist.

Gruß

akapuma
 

BrainyTheKing

Neuer User
Mitglied seit
15 Jul 2008
Beiträge
7
Punkte für Reaktionen
0
Punkte
0
[Edit frank_m24: Vollzitat vom Beitrag direkt darüber gelöscht, siehe Forumregeln.]

Genau!
Um so unverständlicher die Reaktion des AVM-Supports.
Und es funktioniert auch bei meiner 7270!
 

BrainyTheKing

Neuer User
Mitglied seit
15 Jul 2008
Beiträge
7
Punkte für Reaktionen
0
Punkte
0
Support hin oder her.
Was sagt ihr denn zu der Tatsache, dass man mit einem einfachen Befehl eine fremde Internetverbindung trennen / FB restarten kann??
Die IP-Adresse kriegt man immer irgendwie (IRC, Teamspeak, ICQ, Foren etc.) raus.
Das ganze funktioniert nach bisherigen Tests mit einer hohen Erfolgsquote.
Es hängt sicherlich mit RAM-Belegung / CPU-Auslastung etc zusammen.

Mir ist zwar bewusst, das man ICMP-Anfragen per Config-Edit mit einer Firewall-Regel blocken kann. Jedoch ist so ein Workarround a:wenig sinnvoll und b: nicht für normale User zugänglich.
 
Zuletzt bearbeitet:

pete-patata

Mitglied
Mitglied seit
4 Nov 2005
Beiträge
372
Punkte für Reaktionen
0
Punkte
16
Das ping xxx.xxx.xxx.xx -l 65000 löst einen Neustart aus?
 

BrainyTheKing

Neuer User
Mitglied seit
15 Jul 2008
Beiträge
7
Punkte für Reaktionen
0
Punkte
0
Ich wollte es nicht so reinschreiben. Wenn es nicht beim ersten mal neustartet, dann mit -t laufen lassen.
Das Ganze funktioniert aber nur über den WAN Port, nicht im LAN.
 

pete-patata

Mitglied
Mitglied seit
4 Nov 2005
Beiträge
372
Punkte für Reaktionen
0
Punkte
16
Das einzige was bei mir an 7320er oder 7270er Boxen passiert, ist Zeitüberschreitung der Anforderung. Ein Ping ohne Größenangabe wird anschliessend beantwortet. Keine der Boxen legt einen Neustart hin, wie mir ein Blick in die Ereignisse zeigt.
Vielleicht mache ich etwas falsch?
 

BrainyTheKing

Neuer User
Mitglied seit
15 Jul 2008
Beiträge
7
Punkte für Reaktionen
0
Punkte
0
Wie gesagt. Wir sind noch nicht ganz dahinter gestiegen. Ping von einem fremden Internetanschluss mit einer Paketgröße von 65000 Bytes.
Das mit keine Antwort ist normal.

Was nicht funktioniert ist ein Ping an die eigene Public IP, da der Ping direkt von der FB beantwortet wird.
 
Zuletzt bearbeitet:

informerex

IPPF-Urgestein
Mitglied seit
20 Apr 2005
Beiträge
17,153
Punkte für Reaktionen
48
Punkte
48
also die Aussage "Schwachstelle" ist ja ein bisschen reisserisch ;-)
dir steht es doch frei, AVM erneut bzgl. der 7270 anzuschreiben bzw. dein bestehendes Ticket entsprechend abzuändern.

Evtl. interessant wäre die verwendeten Firmware-Versionen der Boxen.
 

BrainyTheKing

Neuer User
Mitglied seit
15 Jul 2008
Beiträge
7
Punkte für Reaktionen
0
Punkte
0
[Edit frank_m24: Vollzitat vom Beitrag direkt darüber gelöscht, siehe Forumregeln.]
Jeweils die aktuelle Firmware. Keine Labor-Version.
 
A

andilao

Guest
Die 7170 Firmware-Version 29.04.80 betrifft das nicht und die 29.04.87 hat von mir keine Produktiv-Freigabe. Auch bei keiner anderen FB konnte ich das reproduzieren.
Könnte es sein, dass ein Teil der "Testumgebung" eine Vollauslastung per torrent war? Am besten, Du lieferst mal eine Beschreibung der kompletten Testbedingungen, also FW-Versionen, OS-Version, eingestellte MTU ...
 

Cakebeisser

Neuer User
Mitglied seit
22 Sep 2011
Beiträge
1
Punkte für Reaktionen
0
Punkte
0
Hallo,

ich bin der Besitzer der besagten Fritzbox

Firmware 29.04.87, Telnet aktiviert, Wlan aktiviert, dahinter hängt noch ein linksys zum wlan verteilen, sonst keinerlei Änderungen. Ftp-Zugriff für Usbstick aktiv. ISP Arcor/Vodafone. Gekauft 2008/09. Dahinter Win7 Prof. alle Updates.

Der Ping-Befehl war:
ping meinedyndns.dyndns.org -t -l 65000 (und das Ganze zig mal in einer Batch hintereinander)

Wir haben das Ganze jetzt mal mit einer andern Fb ausprobiert, gleiche Fw, auch auf die dyndns, allerdings sonst keine besonderen Settings, und schwupp: Absturz.

Bei der 7270 führte das Ganze nur dazu, dass die Internetverbindung gekappt wurde.

Edit: auf der Fb war zu dem Zeitpunkt keine Last, lediglich das Adminpanel war mit der Internetstatistik geöffnet um zu sehen ob der Traffic ankommt. Achja, Stromsparmodus ist auch an.
 
Zuletzt bearbeitet:

Elsi29

Aktives Mitglied
Mitglied seit
24 Dez 2008
Beiträge
2,810
Punkte für Reaktionen
10
Punkte
38
Bei der FB 7390 gehts nicht.
 

syncron

Mitglied
Mitglied seit
8 Sep 2011
Beiträge
309
Punkte für Reaktionen
5
Punkte
18
Yo,habs händisch und mit LOIC probiert,die 7390 hält sich wacker bei der angebene Paketgrösse,kein Restart oder sonstige Probs
 
3

3949354

Guest
Hallo,
@Elsi29
Kann ich hier bestätigen (nicht DynDNS, sondern Strato) FW: 84.05.07-20651. Keine Probleme.
 

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
17,571
Punkte für Reaktionen
1
Punkte
36
Ich kann es ebenfalls auf keiner der 14 Boxen nachvollziehen, die ich in meinem Umfeld direkt erreichen kann. Da ist von 7050 - 7390 alles dabei.

Die großen Ping Pakete kommen überhaupt nicht an, wie ich mit tcpdump überwachen kann. Ich schiebe das auf die Fragmentierung, die bei ICMP Paketen unüblich ist. Deshalb vermute ich, dass sie von den Internetroutern verworfen werden. ICMP Pakete werden generell mit niedrigerer Priorität geroutet. Von daher ist der Test an sich schon sehr zweifelhaft, wenn in einem Großteil der Fälle die fraglichen Pakete überhaupt nicht übermittelt werden.
Zum Absturz konnte ich keine Fritzbox durch Pings bringen.
Des weiteren: Die Option "-t" bei Windows sorgt lediglich dafür, dass der Ping dauerhaft weiterläuft. Ein Flood Ping ist das keinesfalls.

In Anbetracht dieser Tatsache würde ich dafür plädieren, die Aufmachung des Threads weniger reißerisch auszugestalten. Von einer nachvollziehbaren Sicherheitslücke sind wir noch ein gutes Stück entfernt. Dafür muss erst mal eine wirklich reproduzierbare Testumgebung her, was "in der freien Wildbahn" Internet praktisch unmöglich ist. Man bräuchte ein Labor mit DSLAM Testaufbauten.

Solange wir das nicht haben, müsste aber zumindest der Aufbau in den hier diskutierten Fällen näher bekannt sein. Aber daraus reproduzierbare Verhältnisse abzuleiten, halte ich ebenfalls für praktisch ausgeschlossen.

Daneben: Auch in diesem Thread gelten die Forumregeln. Offtopic Beiträge habe ich entsorgt, Vollzitate bereinigt. Es trägt nicht unbedingt zur Seriosität einer solchen Meldung bei, wenn sie direkt von haufenweise Regelverstößen begleitet wird. Gerade in dem Umfeld sollte man doch wissen, wie wichtig das präzise Einhalten von Regeln und Syntax ist. Oder anders ausgedrückt: Wer schlampig an das Verfassen seiner Beiträge geht, wird auch sonst kaum sorgfältiger an seine Tätigkeiten herangehen. Das ist nicht unbedingt hilfreich in einem Fall wie diesem.
 

scolopender

Aktives Mitglied
Mitglied seit
13 Mai 2008
Beiträge
2,296
Punkte für Reaktionen
0
Punkte
36
frank_m24 schrieb:
Von einer nachvollziehbaren Sicherheitslücke sind wir noch ein gutes Stück entfernt.
Stimmt. Im Titel steht ja auch "Schwachstelle".

G., -#####o:
 

George99

Aktives Mitglied
Mitglied seit
12 Dez 2005
Beiträge
1,591
Punkte für Reaktionen
0
Punkte
36
ping IP_Adr -t -l 65000 auf meine 7170 mit neuester FW führt zu keinerlei Problemen. Ich kann sie währenddessen problemlos per VPN erreichen und durch die Menüs gehen.
 

3CX PBX - GRATIS
Linux / Win / Cloud

Neueste Beiträge

Statistik des Forums

Themen
233,315
Beiträge
2,032,725
Mitglieder
351,876
Neuestes Mitglied
ibbstgt