Unitymedia Fritz.Box wurde gehackt

[magentis]

Schreib doch Stern TV ne Mail. Die hatten das gestern als Thema und vorgeführt, wie es geht. Wahnsinn, 100% mehr an Daten damit zusehen auf der Fritte, wie wir es bei normalen Zugriff können. Die appelierten auch noch mal an alle, sich ein Update zu ziehen. Kam auch ein kurzer Hinweis, dass manche Boxen vom Provider ein Update bekommen, die es aber schon gemacht hätten.

Nachbar hat es gestern bekommen, als seine neue Fritte geliefert wurde (westliches Ruhrgebiet).

 

[s_jaekel]

Wieder eine Nacht vorbei und immer noch kein Update (zentrales Ruhrgebiet/6360). Warum dauert das Ausrollen so lange. Technisch kann das doch bei einigen Tausend Fritz!boxen kein Problem sein, ein 10MB kleines Update auf die Geräte zu spielen. Selbst bei einer Million FBen sind die Datenmengen vernachlässigbar.
Vielleicht sollte UM einen zweiten Aldi-Rechner als Server für die Updates einsetzen :wut:

Ich finde es so langsam auch unzumutbar. Hier auch noch kein Update (FB6360/PLZ 59174).
Wobei ich aber auch nicht nur auf UM sauer bin, sondern genauso auf AVM, die so ein großes Scheunentor überhaupt erst in die Welt gesetzt haben...

 

[cemetery]

Ich bin ausschließlich auf Kabel BW sauer. Ansonsten hätte ich mir nie im Leben eine Fritz Box geholt. Aber wird einem als Bestandskunden so ein Gerät aufgezwungen und dann bekommen sie so was nicht auf die Reihe. Wenn Morgen kein Update drauf ist geht die Kündigung raus.

 

[nick99cgn]

Nach Neustart meiner FRITZ!Box 6360 habe ich nun die 6.03 aufgespielt bekommen.
NRW, 3play 32000

 

[diegutefrauwaas]

Immer noch kein Update von UM auf meiner 6360 ... das ist unglaublich unprofessionell und ich bezahle einen Business-Anschluss!

Es tut mir Leid aber als Geschäftskunde muss ich das Konzept von UM in Frage stellen: Man bekommt den Eindruck, dass da eine Gruppe Praktikanten mit dem deutschlandweiten Update von Fritzboxen beauftragt wurde, die sich auch noch anfangs jede Menge Zeit ließen, in aller Ruhe mit der von AVM zur Verfügung gestellten Firmware rumzuspielen, anstatt rund um die Uhr dran zu arbeiten, dass die Sicherheitslücke so schnell wie möglich beim Endkunden geschlossen wird. Auch die Informationspolitik ist ungenügend und nur auf Druck hin gab es erste Informationen auf einer Facebook-Seite und später Google+ anstatt einer flächendeckenden Email an alle betroffenen ENdkunden und Info auf den UM(Business) Webseiten.

UM scheint das völlig unvorbereitet zu treffen und haben weder Konzept noch notwendige Ressourcen dafür in der Schublade. Attraktive Kompetenz für Leute, die bereit sind für ihren geschäftlichen HomeOffice-Anschluss mehr zu bezahlen, sieht echt anders aus. Was nutzt mir ein schnell den Hörer-abhebender Support, wenn er bei solchen wichtigen Problemen rat- und tatenlos ist?

Das wird sicherlich nicht das letzte Mal sein, dass so ein Sicherheitsproblem mit einem Endgerät von UM auftaucht, mal sehen, ob UM lernfähig ist. Ich zumindest mache meinen Verbleib bei diesem Provider von dem zukünftigen Umgang mit solchen Vorfällen und dem weiteren Konzept bzgl. Firmware-Updates seitens des Benutzers abhängig.

Laut Koalitionsvertrag der jetzigen Regierung, will man eh etwas gegen Routerzwang unternehmen: https://www.routerzwang.de/2013/11/grosse-koalition-gegen-zwangsrouter.html
Wäre das nicht eine gute Gelegenheit für UM, das noch einmal aufzuarbeiten und sich auf evtl. kommende Änderungen vorzubereiten ... oder wartet man da wieder, bis es einen unvorbereitet erwischt? :sauer:

 

[hajodele]

Immer noch kein Update von UM auf meiner 6360 ... das ist unglaublich unprofessionell und ich bezahle einen Business-Anschluss!

Es tut mir Leid aber als Geschäftskunde muss ich das Konzept von UM in Frage stellen: Man bekommt den Eindruck, dass da eine Gruppe Praktikanten mit dem deutschlandweiten Update von Fritzboxen beauftragt wurde, die sich auch noch anfangs jede Menge Zeit ließen, in aller Ruhe mit der von AVM zur Verfügung gestellten Firmware rumzuspielen, anstatt rund um die Uhr dran zu arbeiten, dass die Sicherheitslücke so schnell wie möglich beim Endkunden geschlossen wird. Auch die Informationspolitik ist ungenügend und nur auf Druck hin gab es erste Informationen auf einer Facebook-Seite und später Google+ anstatt einer flächendeckenden Email an alle betroffenen ENdkunden und Info auf den UM(Business) Webseiten.

UM scheint das völlig unvorbereitet zu treffen und haben weder Konzept noch notwendige Ressourcen dafür in der Schublade. Attraktive Kompetenz für Leute, die bereit sind für ihren geschäftlichen HomeOffice-Anschluss mehr zu bezahlen, sieht echt anders aus. Was nutzt mir ein schnell den Hörer-abhebender Support, wenn er bei solchen wichtigen Problemen rat- und tatenlos ist?

Das wird sicherlich nicht das letzte Mal sein, dass so ein Sicherheitsproblem mit einem Endgerät von UM auftaucht, mal sehen, ob UM lernfähig ist. Ich zumindest mache meinen Verbleib bei diesem Provider von dem zukünftigen Umgang mit solchen Vorfällen und dem weiteren Konzept bzgl. Firmware-Updates seitens des Benutzers abhängig.

Laut Koalitionsvertrag der jetzigen Regierung, will man eh etwas gegen Routerzwang unternehmen: https://www.routerzwang.de/2013/11/grosse-koalition-gegen-zwangsrouter.html
Wäre das nicht eine gute Gelegenheit für UM, das noch einmal aufzuarbeiten und sich auf evtl. kommende Änderungen vorzubereiten ... oder wartet man da wieder, bis es einen unvorbereitet erwischt? :sauer:

Sorry - als Geschäftskunde muss dich das alles gar nicht betreffen:
1. Fernzugang abschalten
2. Ein Router deiner Wahl an die Fritzbox im Bridge-Mode
3. KEIN PC an die Fritzbox
und alles ist gut.

Dass irgendwann einmal ein Router gehackt werden kann, ist leider immer möglich. Davon ist nicht nur AVM betroffen. Hier schlägt es nur höhere Wellen, weil mehr Haushalte betroffen sind. Warum der Update bei euch nur so zögerlich losgeht, weiß ich nicht. Im Kabelbw-Land ist man anscheinend zwar noch nicht ganz durch, aber zumindest ich habe in meiner Umgebung seit ca. 1 Woche die 6.03 erhalten.

 

[Fleischer]

Sorry - als Geschäftskunde muss dich das alles gar nicht betreffen:
1. Fernzugang abschalten
2. Ein Router deiner Wahl an die Fritzbox im Bridge-Mode
3. KEIN PC an die Fritzbox
und alles ist gut.

Das stimmt so auch nicht ganz......

1. Bridge-Mode nur, wenn eine statische Adresse vorhanden ist

2. Die Telefonie bleibt in jeden Fall auf der 6360 erhalten, ist also weiterhin gefährdet!

 

[diegutefrauwaas]

... Sorry - als Geschäftskunde muss dich das alles gar nicht betreffen:
... und alles ist gut. ...

Bitte? Das ist doch etwas zu kurz überdacht. Auch mit einem Router nach der 6360 als exposed host oder im Bridge-Modus bleibt die 6360 durch Angriffe von "Innen" über Webseiten (siehe Heise) angreifbar und jemand hat Zugriff auf alle meine Telefondaten, kann dort Umlenkungen einrichten, meine VOIP-Anmeldedaten rausholen sowie beliebig Schalten und Walten. Was soll daran gut sein? :kratz:

 

[Tobey]

Bei einer vollständigen Bridge kann der nachgeschaltete Router NICHT auf die FritzBox zugreifen da ausnahmslos alle Pakete direkt weitergeleitet werden (Die "Gegenstelle" die der Router anzeigt sollte in diesem Fall auch kein AVM mac Adresse sein sondern die des CMTS). Daher ist in diesem Fall die FritzBox vor einem Angriff von Innen geschützt.

Bei einem exposed host oder ähnlichem bei der die Fritzbox noch einmal die pakete routet ist dies natürlich nicht der fall.

 

[hajodele]

1. Bridge-Mode nur, wenn eine statische Adresse vorhanden ist

Die ist im Business immer dabei. Man muss sie nur ggf. beantragen.

2. Die Telefonie bleibt in jeden Fall auf der 6360 erhalten, ist also weiterhin gefährdet!

Die Telefonie läuft über ein lokales Netzwerk (bei UM ist es, glaube ich, ein 10er-LAN und bei Kabelbw ein 172er-LAN)

Bitte? Das ist doch etwas zu kurz überdacht. Auch mit einem Router nach der 6360 als exposed host oder im Bridge-Modus bleibt die 6360 durch Angriffe von "Innen" über Webseiten (siehe Heise) angreifbar und jemand hat Zugriff auf alle meine Telefondaten, kann dort Umlenkungen einrichten, meine VOIP-Anmeldedaten rausholen sowie beliebig Schalten und Walten. Was soll daran gut sein? :kratz:

Exposed bitte absolut vergessen.
Bridge-Mode entspricht einem Modem (OSI 1+2), da geht absolut nichts von Innen.

Ihr habt natürlich in soweit recht, dass man nicht gerade von einer zeitnahen Reperatur sprechen kann.
Insbesondere weil ja das "Reperaturkit" vorhanden ist.

Genau wegen des Routerzwangs und der Möglichkeit des Bridgemodes im Businesstarif wechseln sehr viele Private.
Der zweite Grund ist IPV4. Das trifft aber nur auf UM-Kunden zu.

 

[magruk]

Auch weiterhin kein Update! Bei Heise wurde ja schon Anfang der Woche von UM verkündet, man habe bereits ausgerollt...

 

[M@rtin]

Auch weiterhin kein Update! Bei Heise wurde ja schon Anfang der Woche von UM verkündet, man habe bereits ausgerollt...

Für das Thema Update haben wir einen Extra-Thread. Wäre schön, wenn wir gebündelt dort posten, bei wem wann das Update durchgeführt wurde. Am besten noch mit Angabe des Ortes. Damit wäre es möglich zu verfolgen, wie das Update ausgerollt wird!
http://www.unitymediakabelbwforum.de/viewtopic.php?f=90&t=27332

 

[tq1199]

2. Die Telefonie bleibt in jeden Fall auf der 6360 erhalten, ist also weiterhin gefährdet!

Die Telefonie läuft über ein lokales Netzwerk (bei UM ist es, glaube ich, ein 10er-LAN und bei Kabelbw ein 172er-LAN)

Ja, aber diese Telefonie die über ein lokales Netzwerk läuft, kann auch über die nicht statische externe (öffentliche) IPv4-Adresse (... die ja beim Geschäftskundentarif, auch im Bridge-Mode erhalten bleibt) vom Angreifer zwecks Missbrauch, konfiguriert werden (IP-Telefon!). Oder bist Du der Ansicht, dass es bei der "alten" Firmware reicht, den Fernzugriff nicht zu benutzen bzw. zu deaktivieren, so dass dann die Telefonie der 6360 nicht gefährdet ist?

 

[hajodele]

2. Die Telefonie bleibt in jeden Fall auf der 6360 erhalten, ist also weiterhin gefährdet!

Die Telefonie läuft über ein lokales Netzwerk (bei UM ist es, glaube ich, ein 10er-LAN und bei Kabelbw ein 172er-LAN)

Ja, aber diese Telefonie die über ein lokales Netzwerk läuft, kann auch über die nicht statische externe (öffentliche) IPv4-Adresse (... die ja beim Geschäftskundentarif, auch im Bridge-Mode erhalten bleibt) vom Angreifer zwecks Missbrauch, konfiguriert werden (IP-Telefon!). Oder bist Du der Ansicht, dass es bei der "alten" Firmware reicht, den Fernzugriff nicht zu benutzen bzw. zu deaktivieren, so dass dann die Telefonie der 6360 nicht gefährdet ist?

Ich wiederhole mich gerne:
Es gibt keine externe Zugriffsmöglichkeit auf die Fritzbox.
- Internet läuft über die Bridge (dadurch ist hier die Fritzbox transparent).
- An der Fritzbox hängt kein PC (so kann auch von innen kein Angriff erfolgen.
- Alle Features, mit denen man von außen draufkommen könnte, sind abgeschaltet.

Wie soll denn da ein erfolgreicher Angriff laufen?
Letztendlich ist so die Fritzbox "nur" noch ein Modem.

 

[tq1199]

Letztendlich ist so die Fritzbox "nur" noch ein Modem.

Nein, die FritzBox ist nicht nur ein Modem, sie ist "auch" ein (reines) Modem. Diese FritzBox hat weiterhin (... zusätzlich zum Gerät am Bridge-Anschluss) eine externe (öffentliche) IPv4-Adresse. Ein Portscan aus dem Internet auf diese zusätzliche externe IPv4-Adresse und z. B. die Ports 5060 und 8089, zeigt diese Ports als offen an. So etwas gibt es bei einem reinen Kabelmodem nicht.

 

[diegutefrauwaas]

Mein Verständnis war bis jetzt auch, dass bei UM Business die 6360 cable im Bridge Modus eine externe dynamische IP bekommt, über die z.B. VOIP läuft, etc. und zusätzlich kann/können eine oder mehrere statische IP/s durch die 6360-Ports 2-4 im Bridge-Modus genutzt werden.

Sollte die Fernwartung eingeschaltet sein, ist die Box sofort von Außen über ihre externe IP angreifbar mit Fritz!OS 6.0 und vorher, klar.
Wenn nun aber nix an Port 1 der Box hängt, über den diese ja konfiguriert wird, und da hat hajodele Recht, kann die Box für die aktuelle Sicherheitslücke nicht mehr genutzt werden. Gefährlich wäre dann nur ein Gerät/Netzwerk an Port 1, dass über andere Wege Internet-Zugang und somit Zugriff auf gefährliche Webseiten hat, während gleichzeitig eine Verbindung zur 6360 über Port 1 möglich ist.

 

[cemetery]

Ich wiederhole mich gerne:
Es gibt keine externe Zugriffsmöglichkeit auf die Fritzbox.
- Internet läuft über die Bridge (dadurch ist hier die Fritzbox transparent).
- An der Fritzbox hängt kein PC (so kann auch von innen kein Angriff erfolgen.
- Alle Features, mit denen man von außen draufkommen könnte, sind abgeschaltet.

Wie soll denn da ein erfolgreicher Angriff laufen?
Letztendlich ist so die Fritzbox "nur" noch ein Modem.

Sehe ich auch so. Die Fritzbox ist dann weder von außen noch von innen zu erreichen. Wenn doch würde mich brennend interessieren wie das gehen soll. Mir fällt da nichts plausibles ein

Die IP für Telefonie sollte wenn überhaupt eigentlich auch nur über das Netz des Providers angreifbar sein. Oder ist das eine richtige öffentliche IP?

 

[Joe Bar]

Um mal als Kunde mit fester IP etwas Licht in das dunkel zu bringen: Die Fritte läuft NICHT als Bridge im klassischen Sinne, sondern hat eine eigene feste IP. Man bekommt bei einer festen IP ein /30er Subnetz, die Fritte eine IP daraus und ist Gateway. Der eigene Router bekommt eine zweite IP und die Fritte leitet allen IPv4 Traffic ohne nachfragen oder NAT durch. --> Die Fritzbox ist nach wie vor Router und keine Bridge.

 

[SpaceRat]

Um mal als Kunde mit fester IP etwas Licht in das dunkel zu bringen: Die Fritte läuft NICHT als Bridge im klassischen Sinne, sondern hat eine eigene feste IP. Man bekommt bei einer festen IP ein /30er Subnetz, die Fritte eine IP daraus und ist Gateway. Der eigene Router bekommt eine zweite IP und die Fritte leitet allen IPv4 Traffic ohne nachfragen oder NAT durch. --> Die Fritzbox ist nach wie vor Router und keine Bridge.

Und was passiert, wenn man Geräte ohne für eine statische IP registrierte MAC direkt an die Fritz!Box anstöpselt?

Erhalten die dann gar keine Adresse?

 

[Joe Bar]

Es gibt keine registrierte MAC in dem Szenario, nur ein "Transfernetz" (/30). Ich kann aber nachher mal versuchen, über DHCP was zu beziehen...

 

[tq1199]

Es gibt keine registrierte MAC in dem Szenario, ...

Welchen Tarif hast Du, weil es bei dir keine registrierte MAC gibt?

 

[bootmaker]

So - seit 20min ist die 6.03 drauf ...

 

[tq1199]

Und was passiert, wenn man Geräte ohne für eine statische IP registrierte MAC direkt an die Fritz!Box anstöpselt?

Erhalten die dann gar keine Adresse?

Es geht hier um feste IPv4-Adressen, die man bei UMKBW beantragen muss und mit dem Antrag die MAC-Adresse des Gerätes mitteilen muss, das diese IPv4-Adresse bekommt. Das Gerät kann diese feste IPv4-Adresse vom DHCP-Server des Providers zugewiesen bekommen, oder der Provider teilt dem Kunden die feste IPv4-Adresse (inkl. Gateway, Subnet-Mask und DNS-Server) schriftlich mit, so dass der Kunde diese IPv4-Adresse in seinem Gerät am Bridge-Anschluss (LAN 2 oder LAN 3 oder LAN 4) der FritzBox-cable mit Hilfe der Konfigurationsdateien (z. B. "/etc/network/interfaces") statisch konfiguriert. Wenn man den Bridge-Anschluss der FritzBox-cable so benutzt, dann ist diese weiterhin Router und von außen erreichbar. Wie soll sonst der Provider über den Port 8089 (TR-069 oder backdoor) die FritzBox-cable, über das Internet updaten? Er macht das doch nicht über ein providerinternes Netz.

 

[Joe Bar]

Wie tq1199 schon sagte: Es geht um feste IPv4-Adressen bei (in meinem Fall) UM. Ich habe da keinen MAC Adresse irgendwo registrieren müssen, sondern von UM die Daten (Netzwerk-IP, Gateway-IP (Fritzbox), IP für meinen Router und die Broadcast-IP) für das öffentliche "Transfernetz" bekommen, die ich entsprechend auf dem WAN-Interface meines Routers konfiguriert habe. Somit ist sowohl mein Router, als auch die Fritzbox unter einer global gültigen IP-Adresse erreichbar.

HTH

 

[tq1199]

Es geht um feste IPv4-Adressen bei (in meinem Fall) UM. Ich habe da keinen MAC Adresse irgendwo registrieren müssen, sondern von UM die Daten (Netzwerk-IP, Gateway-IP (Fritzbox), IP für meinen Router und die Broadcast-IP) für das öffentliche "Transfernetz" bekommen, die ich entsprechend auf dem WAN-Interface meines Routers konfiguriert habe. Somit ist sowohl mein Router, als auch die Fritzbox unter einer global gültigen IP-Adresse erreichbar.

Das ist aber nicht der Business-Tarif. Beim Business-Tarif mit zusätzlicher IPv4-Adresse, hat man über die FritzBox-cable mind. 2 externe (öffentliche) verschiedene IPv4-Adressen mit unterschiedlichen Gateways. Die 1. externe (öffentliche) IPv4-Adresse der FritzBox-cable ist keine feste IPv4-Adresse, erst ab der 2. IPv4-Adresse handelt es sich um feste IPv4-Adressen (... unabhängig davon ob diese festen IP-Adressen dynamisch oder statisch zugewiesen werden).
"fest" bedeutet hier, dass sich diese IPv4-Adresse nie ändert (BTW: ein dyndns-Provider ist nicht erforderlich).