.titleBar { margin-bottom: 5px!important; }

Sicherheitslücke im AVM UPNP Dienst

Dieses Thema im Forum "AVM-Software" wurde erstellt von DPR, 16 Jan. 2007.

  1. DPR

    DPR Neuer User

    Registriert seit:
    2 Juli 2005
    Beiträge:
    173
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #1 DPR, 16 Jan. 2007
    Zuletzt bearbeitet: 16 Jan. 2007
    Beschreibung:
    Der UPNP Dienst von AVM für Windows, der Bestandteil der "Fritz!DSL Software 02.02.29" enthält eine Sicherheitslücke, mit der es möglich ist lesenden Zugriff auf sämtliche lokalen Dateien der System-Partition ohne Administrator-Rechte zu erhalten. Des Weiteren ist es damit möglich Lese-Zugriff auf sämtliche Dateien der System-Partitionen aller Rechner im LAN zu erhalten. Dazu gehören in der Regel alle Profil-Dateien.

    Der Fehler tritt durch den im "AVM IGD CTRL Service" enthaltenen AR7 Web-Server auf. Da dieser unter dem lokal höchstprivilegierten System Account läuft, ist es selbst möglich kritische System-Dateien auszulesen.


    Reproduktion:
    Mit der URL im Format
    http://IP-Adresse:49001/..%5C..%5C..%5CPfad kann auf Dateien von C: lesend zugegriffen werden. Der Backslash muss als %5C angegeben werden.


    Beispiele:
    http://localhost:49001/..%5C..%5C..%5Cwindows%5Csystem.ini
    http://192.168.178.20:49001/..%5C..%5C..%5Cwindows%5Csystem.ini


    Workaround:
    - Deaktivieren des AVM UPNP Diensts "AVM IGD CTRL Service". Alternativ kann der Windows eigene UPNP Dienst aktiviert werden. Dadurch funktioniert UPNP trotzdem, lediglich die AVM Programme erkennen die Fritz!Box über UPNP nicht mehr.


    Verweise:
    Auch der AR7 Webserver auf der Fritz!Box selbst zeigt ein ähnliches Verhalten. So lassen sich alle Dateien im Verzeichnis /etc/default.Fritz_Box.../avm über URLs wie beispielsweise http://fritz.box:49000/vpn.cfg auslesen. Da es sich dabei jedoch nur um die default-Konfiguration handelt und URLs mit einem ".." nicht funktionieren, ist das Verhalten zwar unschön aber unkritisch.


    Bis jetzt habe ich keine Möglichkeit gefunden über die Lücke im Windows-Dienst Code auszuführen oder schreibenden Zugriff zu erhalten.
     
  2. prodigy7

    prodigy7 Mitglied

    Registriert seit:
    28 Mai 2005
    Beiträge:
    732
    Zustimmungen:
    1
    Punkte für Erfolge:
    16
    Hallo DPR,

    schon an AVM gemeldet? Wenn Nein, hättest du dies zuerst tun sollen bevor du den Fehler hier so ausführlich schilderst.

    p7
     
  3. DPR

    DPR Neuer User

    Registriert seit:
    2 Juli 2005
    Beiträge:
    173
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Aus zweiter Hand weiß ich, dass dieser Bug bereits Mitte Dezember an AVM übermittelt wurde.

    Prinzipiell muss ich aber sagen, dass ich nicht unbedingt der Politik folge, Sicherheitslücken geheim zu halten, bis der Hersteller diese gefixt hat. Das schadet den Usern mehr, weil es kriminellen Leuten die Möglichkeit gibt eben diese Lücken insgeheim auszunutzen. Da ich einen "Workaround" mitgeliefert habe, kann sich jeder User selbst helfen.

    Abgesehen davon hat AVM damit genug Zeit gehabt auf diese Lücke zu reagieren, hat es aber nicht getan. Ausserdem habe ich auf den AVM Seiten keine Möglichkeit gefunden direkt mit dem Support per Mail in Kontakt zu treten.
     
  4. stsoft

    stsoft Aktives Mitglied

    Registriert seit:
    1 Okt. 2005
    Beiträge:
    1,861
    Zustimmungen:
    8
    Punkte für Erfolge:
    38
    ganz unten auf der Hauptseite, so wie es sich gehört für anständige Unternehmen: "Kontakt"

    http://www.avm.de/de/Unternehmen/Adressen.html

    ??????????????????????????????????????
     
  5. DPR

    DPR Neuer User

    Registriert seit:
    2 Juli 2005
    Beiträge:
    173
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #5 DPR, 17 Jan. 2007
    Zuletzt bearbeitet: 17 Jan. 2007
    Ich sehe dort nur Telefonnummern und die ganzen Web-Formulare für allgemeine Probleme mit der Fritz!Box. Selbst wenn man sich nervigerweise durch die Formulare "für die Probleme" durchklickert, landet man auf einer Seite die mit sicherheitskritischen Meldungen kaum etwas zu tun hat.

    Eine direkte Möglichkeit an das AVM Security- / Entwickler-Team eine Nachricht zu verschicken findet sich dort momentan nicht.

    Wie die Kontakt-Seite ganz oben selbst sagt:
    "Fragen, Wünsche oder Anregungen - AVM hat für Ihr Anliegen immer ein offenes Ohr.
    Wir freuen uns, von Ihnen zu hören!"

    In keines der genannten Kategorien fällt eine Sicherheitslücke ... und sie als "Anregung" oder "Wunsch" zu verstehen wäre etwas weit hergeholt.


    Aber darum geht es in diesem Beitrag nicht, diese Diskussion führt vom Thema weg.
     
  6. prodigy7

    prodigy7 Mitglied

    Registriert seit:
    28 Mai 2005
    Beiträge:
    732
    Zustimmungen:
    1
    Punkte für Erfolge:
    16
    #6 prodigy7, 17 Jan. 2007
    Zuletzt von einem Moderator bearbeitet: 17 Jan. 2007
    Hallo DPR,

    Hier stellt sich die Frage, wie wurde es an wen in welcher Form übermittelt?

    Ich bin auch ein Gegner, Sicherheitslücken geheim zu halten bis irgendwann man der Hersteller reagiert hat. Aber im Sinne der Fairness sollte man dem Hersteller eine angemessene Zeit geben, zu reagieren. Du hast den Fehler jetzt publik gemacht und Leute mit Know-How können ihn ausnutzen. Leute, die nicht jeden Tag dieses Forum lesen, kennen den Fehler nicht und entsprechend auch nicht den Workaround.

    Wie gesagt: Kommt drauf an, ob der jenige der es gemeldet hat, auch sicher gestellt hat, das es bei AVM angekommen ist.

    Bzgl. Kontakt: Ich habe damals gedacht, das wenn man sich im Webinterface angemeldet hat via Passwort, dieses für eine bestimmte Zeit Passwortfrei sei, weil keine Abfrage mehr kam, egal welchen Browser ich auf meinem Rechner geöffnet habe. Dementsprechend habe ich bei der AVM-Hotline das Problem geschildert und weil der Support nix damit anfangen konnte, wurde ich zu jemanden bei AVM weiterverbunden, der mehr Ahnung und zu sagen hatte. Nach dem ich das geschildert habe und meine Nr hinterlassen habe, hat er kurze Zeit später zurückgerufen und mir erklärt, dass nur die IP für einen Zeitraum freigeschaltet ist. Dieser Fall hat mir aber gezeigt, das man bei AVM schon ernst genommen wird.

    Das Problem an E-Mail ist, dass die Hemmschwelle recht niedrig ist, diese zu schreiben. Entsprechend kommt auch viel Mist und dann ist es schwierig zu sieben - der persönliche Kontakt kann einem in gewissen Situationen weiter bringen.

    p7

    Posting 2:

    Achso, noch eine Ergänzung: Nur weil du nicht die passende Kategorie gefunden hast, heißt es nicht, das es nicht einen Ansprechpartner gibt. Wenn ich bei einer Firma keine Telefonnummer finde, die zu meinen Belangen passt, ruf ich einfach irgendeine an und irgendwie kriegt man dann immer weitergeholfen.
     
  7. smiley2

    smiley2 Neuer User

    Registriert seit:
    28 Mai 2005
    Beiträge:
    71
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Zu meinem Verständnis:
    Wenn ich das hier richtig verstehe, reicht es auch, die Fritz! SW gar nicht erst zu installieren, bzw im Sinne dieses Themas sie zu deinstallieren.


    ist ja hübsch, funktioniert :)
     
  8. DPR

    DPR Neuer User

    Registriert seit:
    2 Juli 2005
    Beiträge:
    173
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Da AVM per Mail eine Antwort geschickt hat, ist davon auszugehen, dass das auch richtig angekommen ist.
    Meine Kritik bleibt: AVM sollte das Melden von solchen Lücken vereinfachen. Ich telefoniere ganz sicher nicht in der Weltgeschichte rum, um so was zu melden. Schließlich werde ich von AVM nicht bezahlt, dass ich denen Support leiste. Womit ich dieses Thema auch beenden will.

    Das hast du richtig verstanden :) Die Sache mit dem Auslesen der Dateien von der Fritz!Box selbst lässt dich durch Deaktivieren von UPNP in der Fritz!Box "beheben". Wobei das wie gesagt - zumindest auf den ersten Blick - keine kritische Lücke ist.
     
  9. smiley2

    smiley2 Neuer User

    Registriert seit:
    28 Mai 2005
    Beiträge:
    71
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    @DPR: Danke für die ganzen Infos.
     
  10. DPR

    DPR Neuer User

    Registriert seit:
    2 Juli 2005
    Beiträge:
    173
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Gern geschehen !
     
  11. prodigy7

    prodigy7 Mitglied

    Registriert seit:
    28 Mai 2005
    Beiträge:
    732
    Zustimmungen:
    1
    Punkte für Erfolge:
    16
    Wie war das, es reagiert niemand bei AVM?

    Gesendet: 14:58 über das Homepage Kontaktformular, "Lob/Kritik":
    Code:
    Guten Tag,
    
    unter der URL http://www.ip-phone-forum.de/showthread.php?t=125958 wurde
    ein Fehler Ihrer Fritz!Box-Software gemeldet, welcher es ermöglicht, mit
    Administrator-Rechten Dateien von einem Windows-PC herunterzuladen. Ich
    konnte den dort beschriebenen Sachverhalt selber nachvollziehen und der
    Fehler stellt eine große Sicherheitslücke dar.
    Reaktion: 16:07
    Code:
    Sehr geehrter Herr xxxxxx,
    
    diese Information ist nicht ganz korrekt. Denn die PC-Daten
    sind nicht aus dem Internet auslesbar, nur von einem anderen
    Rechner aus dem lokalen Netzwerk.
    Aber hierzu wird es im nächsten FRITZ!DSL-Update eine Änderung
    geben.
    
    Mit freundlichen Grüßen
    
    AVM GmbH
     
  12. wodi

    wodi Aktives Mitglied

    Registriert seit:
    13 Sep. 2006
    Beiträge:
    845
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Neumarkt
    Ebenfalls DANKE für die angestoßene Klärung :D

    Also - Adrenalin wieder auf Normalmaß herunterfahren ;)
     
  13. DPR

    DPR Neuer User

    Registriert seit:
    2 Juli 2005
    Beiträge:
    173
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Wenn du mal genau lesen würdest, was ich geschrieben habe, würdest du solche Fragen nicht stellen - und hättest AVM den Sachverhalt auch anders geschildert.
    Ich habe nie behauptet, dass AVM auf die Meldung nicht mit einer Antwort reagiert hat. Was ich aber gesagt habe ist, dass sie seit Mitte Dezember darüber Bescheid wissen und keinen Fix herausgebracht haben. Allgemein hat die Fritz!DSL Software mehr als 1 Jahr auf dem Buckel.

    Wenn du gerne weiter darüber diskutieren willst, wie DU gerne Fehler an AVM übermittelst, mach dir deinen eigenen Beitrag auf und diskutiere das da. Da kannst du dann auch die Leute so lange anpflaumen wie du willst / der Moderator einschreitet.
    Ich werde mich dazu jetzt nicht mehr äußern - habe alle relevanten Fakten und meinen Standpunkt mehr als deutlich dargelegt.
     
  14. prodigy7

    prodigy7 Mitglied

    Registriert seit:
    28 Mai 2005
    Beiträge:
    732
    Zustimmungen:
    1
    Punkte für Erfolge:
    16
  15. DPR

    DPR Neuer User

    Registriert seit:
    2 Juli 2005
    Beiträge:
    173
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Habe das gerade gestern auch auf Full-Disclosure gelesen. Allerdings konnte ich den Fehler nicht Reproduzieren. Werde einen extra Beitrag dafür aufmachen ... sonst geht das vermutlich unter.
     
  16. Novize

    Novize Moderator
    Forum-Mitarbeiter

    Registriert seit:
    17 Aug. 2004
    Beiträge:
    20,717
    Zustimmungen:
    46
    Punkte für Erfolge:
    48
    Beruf:
    Jepp!
    Ort:
    NRW
  17. DPR

    DPR Neuer User

    Registriert seit:
    2 Juli 2005
    Beiträge:
    173
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ok, danke für den Hinweis :)
     
  18. DPR

    DPR Neuer User

    Registriert seit:
    2 Juli 2005
    Beiträge:
    173
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Wie hier http://www.ip-phone-forum.de/showthread.php?t=127026 beschrieben wird, hat AVM ein Update herausgebracht, das die Lücke provisorisch stopft. Provisorisch deswegen, weil der prinzipielle Zugriff nicht verhindert wird.

    Legt man eine Datei "wwwtest.txt" unter "windows\system32" an, kann man mit der URL "http://IP-Adresse:49001/..%5Ctest.txt" nach wie vor aus dem gesamten LAN darauf zugreifen. Der "Trick" von AVM besteht darin, vor jede Abfrage "www" hinzuzufügen. Die Ursache wird mit diesem Update also nicht behoben.

    Ausserdem ist nach wie vor die Option "Datenaustausch zwischen Dienst und Desktop zulassen" für den AVM IGD Ctrl Dienst aktiviert. Diese birgt nach wie vor potentielle Angriffsflächen, die es ermöglichen lokal System-Rechte zu erlangen.
     
  19. MakkaB

    MakkaB Mitglied

    Registriert seit:
    5 Apr. 2005
    Beiträge:
    406
    Zustimmungen:
    1
    Punkte für Erfolge:
    18
    Von wegen Fairness, sind wir hier beim Sport?

    Ich habe leider zu wenig Ahnung von dem ganzen. Bspw. habe ich bei meiner 7170 lediglich

    Statusinformationen über UPnP übertragen (empfohlen)

    erlaubt, damit ich das Fritzbox Reconnect Tool nutzen kann, ich habe für die Box nämlich keinerlei Software installiert. Bin ich nun von außen angreifbar? Ich dacht, diese Einstellung für nur für lokal angeschlossene Rechner gelten?

    In finde es richtig, daß DPR es sofort bekannt gemacht hat, dann kann ich nämlich notfalls meinen Laden umgehend dichtmachen und hab nicht 6 Monate nen Scheuenentor offen, das irgendwer, der es vorher schon wußte, ausnutzen konnte.
     
  20. prodigy7

    prodigy7 Mitglied

    Registriert seit:
    28 Mai 2005
    Beiträge:
    732
    Zustimmungen:
    1
    Punkte für Erfolge:
    16
    Meine Kritik zielte auch in die Richtung, dass aufgrund von "hören/sagen" gemutmaßt wurde, dass AVM das Problem wohl verpennt hat.

    Zudem hat DPR behauptet, keine vernünftige Kontaktmöglichkeit gefunden zu haben und wie man nachlesen kann, hat er keine passende "Kategorie" gefunden und es scheinbar einfach gelassen. Das man Firmen, die ein Problem kennen (also nicht nur: Ich glaube X hat denen mal was gesagt) aber nicht reagieren, mit der Veröffentlichung unter Druck zu setzen, finde ich i.O.!

    Für mich ist das Thema aber jetzt erledigt und ich werd auch nix mehr sagen. Von mir aus kann auch n Admin den Thread zu machen.