Unitymedia Sicherheitsrisiko Fritz!Box 6360 Cable?

[eazrael]

Hallöchen,

mit der Installation der Fritz!Box heute durch den Techniker wurde der Pakt besiegelt und meine Seele gehört nun Unitymedia. So ist zumindestens mein Gefühl nach meinen ersten Eindrücken von UM. Mein gewählter Tarif ist Business 64 + Telefon mit statischer IP.
Am Unbefriedigsten ist für mich die mangelnde Dokumentation seitens UM und auch seitens AVM.

Was mich ein bisschen schockte ist allerdings das Webinterface der Fritz!Box 6360 Cable. Und zwar der Login Screen:

Die Benutzeroberfläche der FRITZ!Box ist mit einem Kennwort geschützt. Melden Sie sich mit dem Kennwort an.
Kennwort [ ]

Wenn Sie Ihr Kennwort vergessen haben, können Sie die FRITZ!Box auf die Werkseinstellungen zurücksetzen.

Das Problem wurde u.a. hier erwähnt und auch Heise hatte schon einen Artikel über die Box. Was mich ein bisschen erstaunt ist das keiner ein Problem in diesem Screen sieht.
Der Dialog ist immer vom Internet erreichbar und bietet allen die Möglichkeit die Fritz!Box in die Werkseinstellungen zurückzusetzen. Es gibt zwar einen eingebauten Schutz, diese Option ist nur die ersten 10min nach dem Booten aktiv, aber die Fritz!Box kann nach dem Einschalten schon nach 2-3 min im Internet sein, so das diese Option 7-8 min scharf ist. Natürlich könnte man jetzt sagen, das ist nur hypothetisches Risiko, aber es ist technisch kein Problem:

• Die Unitymedia-Adressbereiche zu scannen
• Die gefundenen Adressen per Ping zu überwachen
• Nach einem Ausfall ein Zurücksetzen auszulösen
• ...

Und ich kann mir gut vorstellen, dass es Leute gibt die die Box nicht 24/7 laufen lassen, Läden/kleine Büros beispielsweise.

Und ich habe keine Möglichkeit gefunden diese Funktion zu deaktivieren. Man kann zwar zusätzlich noch Fernwartung über https aktivieren, aber nicht das Standardinterface deaktivieren.

Bin ich der Einzige der diese Option mehr als kritisch sieht. Immerhin erlaubt Zugriff auf die Box auch Zugriff auf das gesamte Netz dahinter und auf ganz andere Funktionen (die ich noch nicht erforscht habe). Oder wisst ihr wie man dieses Interface oder zumindestens die Resetfunktion deaktivieren kann?


Ich hab noch ein Haufen anderer Fragen, die meisten davon betreffen Erfahrungswerte, aber die in anderes mal.

 

[Invisible]

Der Pakt mit dem Teufel ist wenn schon die FratzBüchse, nicht UM.

Tja, wer sich den Kasten ins Haus holt sollte an so etwas denken. Insbesondere wenn geschäftlich sensible Daten darüber laufen.

Helfen kann dir hier nur eine sauber konfigurierte Hardware-Firewall um das Ding wasserdicht zu machen.

 

[oxygen]

Und ich kann mir gut vorstellen, dass es Leute gibt die die Box nicht 24/7 laufen lassen, Läden/kleine Büros beispielsweise.

Warum sollte so jemand eine statische IP beauftragen? nur dann ist NAT standardmäßig nicht aktiv.

 

[eazrael]

Helfen kann dir hier nur eine sauber konfigurierte Hardware-Firewall um das Ding wasserdicht zu machen.

Aha, und wo soll diese Hardware-Firewall bitte laufen? Zwischen die Fritz!Box und Unitymedia passt wohl nichts mehr..

Und ich kann mir gut vorstellen, dass es Leute gibt die die Box nicht 24/7 laufen lassen, Läden/kleine Büros beispielsweise.

Warum sollte so jemand eine statische IP beauftragen? nur dann ist NAT standardmäßig nicht aktiv.

Weil's so verkauft worden ist? Oder nicht explizit eine dynamische verlangt worden ist?

 

[Invisible]

Aha, und wo soll diese Hardware-Firewall bitte laufen? Zwischen die Fritz!Box und Unitymedia passt wohl nichts mehr..

Ääääääähm.....schwerwiegender Denkfehler meinerseits. Stimmt da passt nichts mehr dazwischen :hammer2:

Was bin ich froh das ich das Ding nicht im Haus habe.

 

[phoenixx4000]

1. Das Rücksetzen des Passworts klappt nur innerhalb weniger sekunden nach dem Neustart der Fritz Box. Das war schon immer so und wird wahrscheinlich auch immer so bleiben.

2. Die Hardware-Firewall wird grundsätzlich nicht vor der FritzBox sondern zwischen FritzBox und eigenem Netzwerk angeschlossen.

 

[eazrael]

1. Das Rücksetzen des Passworts klappt nur innerhalb weniger sekunden nach dem Neustart der Fritz Box. Das war schon immer so und wird wahrscheinlich auch immer so bleiben.

Ohne Kennwort ist die geschützte Benutzeroberfläche nicht erreichbar. Sollten Sie Ihr Kennwort vergessen haben, müssen Sie die FRITZ!Box in den Auslieferungsszustand zurücksetzen. Dafür steht Ihnen in den ersten 10 Minuten nach dem Einschalten die Option "Wiederherstellen der Werkseinstellungen" ohne Kennwort zur Verfügung.

Achtung: Dabei gehen alle Einstellungen verloren.

600 Sekunden = "Wenige sekunden"?

 

[piotr]

Und ich kann mir gut vorstellen, dass es Leute gibt die die Box nicht 24/7 laufen lassen, Läden/kleine Büros beispielsweise.

Warum sollte so jemand eine statische IP beauftragen? nur dann ist NAT standardmäßig nicht aktiv.

Weil's so verkauft worden ist? Oder nicht explizit eine dynamische verlangt worden ist?

Das einfache Business Produkt hat dynamische IPs wie das Privatkunden-Produkt.
Die statische(n) IP(s) beim Business Produkt gibt es normalerweise nur auf Wunsch.

Hast Du vielleicht bei der Bestellung etwas von eigenen Servern erwaehnt, wo dann vielleicht UM darauf einging und Dir das Business mit statischer IP anbot?

 

[eazrael]

Nein die statische IP ist gewollt und die statische IP bzw die Option auf ein Subnetz war für mich der Grund einen Business Tarif zu nehmen..

Das ändert aber nix dran, dass es wohl eine Lücke von einer paar min gibt, wo dir jeder die Konfig zerschiessen kann.

 

[phoenixx4000]

1.) Welchen Grund sollte man haben eine funktionierende und einwandfrei konfigurierte FBF neu zu starten?

2.) Es müsste schon sehr dumm dahergehen, wenn genau innerhalb dieses "Zeitfensters" jemand von ausserhalb die kapert. Ich glaube nicht, dass da jemand vor seinem PC sitzt und nur darauf wartet, dass Du deine FBF neu startest damit er die übernehmen kann.

3.) Was erwartest Du bei dem monatlichen Grundpreis an Hardware??? Zum einen will jeder überall dran rumspielen und alles verstellen zum anderen absolute Sicherheit. Die gibt es aber im Internet nicht. Nicht einmal mit Firewall, denn die Gröste Sicherheitslücke sitzt meist hinter dem PC im eigenen Netzwerk.
Ausserdem scheint die FBF zur Zeit das Einzige Produkt im Sortiment von UM zu sein, was den Anforderungen an den UM Business Anschluss gerecht wird. Wenn man überlegt, das es die Business Anschlüsse ja auch noch nicht soooo lange gibt, ist das, was geboten wird schon OK.

 

[josen]

Moin,

1.) Welchen Grund sollte man haben eine funktionierende und einwandfrei konfigurierte FBF neu zu starten?

Die startet sich auch desöfteren mal von alleine neu. Hint: Zuviele Verbindungen. Nun soll es ja Möglichkeiten geben, zu einem offenen Port von außen viele Verbindungen zu öffnen ;-)

2.) Es müsste schon sehr dumm dahergehen, wenn genau innerhalb dieses "Zeitfensters" jemand von ausserhalb die kapert. Ich glaube nicht, dass da jemand vor seinem PC sitzt und nur darauf wartet, dass Du deine FBF neu startest damit er die übernehmen kann.

Das ist mit simpelsten Shellskripten möglich. Es gibt einen Portscanner, der über die speziellen Eigenschaften der Antworten auf TCP-Pakete die Uptime der Fritz!Box schnellstens ermitteln kann. Wenn die unter 10 Minuten ist, greift ein anderes Skript.

Mit deinem dritten Punkt triffst du voll ins schwarze. Unitymedia ist einfach sehr sehr günstig. Das sollte man UM auf jedenfall zugute halten.

Was diese Sicherheitsprobleme von eazrael angeht, habe ich am 19.04.2012 Unitymedia einen vollständigen Bericht über alle im Business Tarif mit Fritz!Box + statische IP enthaltenen Schwachstellen und Sicherheitslücken geschickt. Ich arbeite freiberuflich als Pentester und hab meine eigene Fritz!Box mal unter Beschuss genommen und einiges gefunden. Mehr darf ich dazu nicht sagen.

Grüße

 

[sebr]

Würde mich wundern wenn da UM oder AVM darauf reagiert oder gar etwas ändert, das sind zumindest meine Erfahrungen. Wahrscheinlich sind die zu beschäftigt sich neue Tarife auszudenken bzw. irgendwelche unnötige Spielereien in die Boxen zu quetschen anstatt sich mal um elmentare Dinge kümmern
Da werden sich vor dir auch sicher schon andere dran versucht haben der Box mal näher auf den Zahn zu fühlen zumal der Quellcode ja auch frei zugänglich ist. In diversen Newsgroups und Foren gibts schon was zu lesen in diese Richtung...
Aber: wer die 6360 ausgewählt hat ist selber Schuld. Die Probleme und Nachteile die mit dieser Box einhergehen sind weit bekannt. Besser: Kabelmodem + Router + VoIP-Telefonanlage und mit den Rufnummern zu Sipgate o.ä.. Und gerade wer seinen Anschluss auch geschäftlich nutzt sollte lieber etwas mehr ausgeben.

 

[josen]

Moin,

wenn du jemanden kennst, auf ein Pläuschchen hab ich immer Lust
Bei mir ist das nun nicht so das Problem, die Fritze und der Rest vor meiner Firewall hängt auf einem Mirror-Port und der wird interessiert von NTop und Snort beäugt.

Naja, wenn ich die Wahl hätte, würde ich für einen von UM gemanagten Cisco Router mit VoIP oder vernünftige Einstellungen auf der FritzBox nochmal 100 Euro locker machen.

Grüße

 

[eazrael]

Was diese Sicherheitsprobleme von eazrael angeht, habe ich am 19.04.2012 Unitymedia einen vollständigen Bericht über alle im Business Tarif mit Fritz!Box + statische IP enthaltenen Schwachstellen und Sicherheitslücken geschickt. Ich arbeite freiberuflich als Pentester und hab meine eigene Fritz!Box mal unter Beschuss genommen und einiges gefunden. Mehr darf ich dazu nicht sagen.

Ist überhaupt was passiert?

Kollege meinte dazu nur, das man sowas am besten direkt an Heise schreibt. Klar, ohne Full Disclosure passiert in der Wirtschaft ja sonst nix. Und selbst wenn die Lücke für einige eher theoretischer Natur ist, ist es immer noch eine Lücke die einem sofort auffallen sollte. Und um so mehr Businesskunden es gibt, umso interessanter wird sie.

Nachtrag:
Naja Geld locker machen.. mir würde es reichen, wenn man diese Option deaktivieren könnte. Oder andersweitig entschärfen. Und wenn du noch mehr Lücken gefunden hast, dann fühl ich mich irgendwie noch unsicherer.