Unitymedia Fritz.Box wurde gehackt

[SpaceRat]

Ohne root ist übrigens immer noch ein Mitschnitt einer Anmeldung möglich, dazu braucht man lediglich einen transparenten https-Proxy (Charles, mitmproxy).

Aufgrund der kranken (Sicherheits!-)Denke von manchen Entwicklern ist es nämlich auf Androiden so gut wie unmöglich, für solche Zugriffe mit Zertifikaten zu arbeiten:
Wer schon mal versucht hat, ein Zertifikat auf einem Androiden zu installieren, wird das in der Regel schnell wieder gelassen haben, weil er dann von Android dazu gezwungen wird, statt des einfachen "Wischens" mindestens eine Entsperrgeste einzustellen, was früher oder später nervt.
Da sich nun die Fritz!Box ihr Zertifikat aufgrund flexibler URL/IP selber erzeugen muß/müßte und das nicht einfach so eben von einer standardmäßig vorhanden Root Authority signieren lassen kann, kann die MyFritz!App gar keine brauchbare Überprüfung des Zertifikats durchführen und liefert daher die Daten auch durch einen Man-In-The-Middle-Proxy ab.

HTTPS bringt nämlich nur dann etwas, wenn die Zertifikate auch überprüft werden:
Loggt man sich einfach mal per https auf seinem NAS oder E2-Receiver o.ä. ein, dann wird man feststellen, daß man von Chrome, Firefox, IE etc. gewarnt wird, daß sich die Authentizität des Zertifikates nicht überprüfen läßt (Logisch, denn dem System ist der Aussteller nicht bekannt).

Auf dem PC läßt sich das Problem nun ganz einfach beheben:
Wenn man überprüft hat, daß die Namensauflösung auch wirklich auf den eigenen NAS etc. zeigt und das dem Browser angebotene Zertifikat in Bezug auf den Fingerprint mit dem selber erzeugten übereinstimmt, dann installiert man es einfach. Danach sieht man jederzeit am grünen oder roten bzw. durchgestrichenen "https", ob das Zertifikat nun gültig ist oder eben nicht. Selbst wenn ein Dritter ein Zertifikat für die Adresse erzeugt, unter der wir den NAS o.ä. ansprechen, wäre es auch noch lange nicht das selbe Zertifikat und somit ebenfalls ungültig.

Nun wäre es natürlich auch sinnvoll, diese Zertifikate auf dem Smartphone zu installieren, damit man gerade und insbesondere unterwegs sicher sein kann, daß man seine Anmeldedaten in das richtige (eigene) System kloppt und nicht irgendeines, das man gerade vorgesetzt bekommt (Und so ein transparenter Proxy ist eben auch ein solches, HTTPS-MITM-Angriffe sind nämlich prinzipiell zum Scheitern verurteilt, wenn der Benutzer bzw. die App auf die Korrektheit der Zertifikate achtet, ein MITM kann nämlich kein gültiges sondern bestenfalls ein ähnliches erzeugen! ...) und eben das verhindert Android und das ausgerechnet aus "Sicherheitsgründen".

Und aus diesem Grund können dann eben auch die Fritz!Apps gar keine wirkliche Überprüfung durchführen und sind somit anfällig für MITM-Angriffe ... zum Wohle der Sicherheit!

 

[SpaceRat]

Habt Ihr auf eurer Fritzbox ein Öffentliches Zertifikat installiert oder habt das Selfsign Fritzbox Zertifikat auf jedem System von dem Ihr aus auf die Box zugreift vorher persönlich von der Box auf das jenige System übertragen und im Zertifikatsspeicher des Geräts als vertrauenswürdiges Zertifikat hinterlegt?

Ich ja

Und für alle anderen Geräte habe ich auch entsprechende Zertifikate selber erzeugt ...

Aber wer weiß schon, welche neue Spoofing Methode die evtl nutzen um den Datenstrom abzugreifen/umzuleiten etc.

Dafür reicht eine ... Fritz!Box ... Du schiebst einfach einen transparenten https-Proxy unter.

Da die Fritz!Apps die Zertifikate nicht prüfen (können) und wohl auch ein Großteil der Benutzer das nicht tut, ist das eine Kleinigkeit.

Ein MITM-Angriff auf https ist aber vom Grundsatz her unmöglich.
Möglich wird er erst, wenn man die Vorsichtsregeln, also das durchgestrichene "https", in der URL ignoriert oder die Zertifikate an sich Müll sind. Dann nutzt man aber im Prinzip eben auch kein https mehr, sondern nur http.

 

[planethas]

Oder wie schon des öffteren, sind evtl. wieder welche in einer CA "eingebrochen" und haben sich ein paar Zertifikate ausgestellt. Dann merkt es auch niemand.

Aber ohne Glaskugel kommen wir mit solchen Theorien nicht zum Ziel.

 

[johnripper]

Zu den ganzen Vermutungen hier kann ich sagen, dass ich keine Zugangsdaten zu dieser Box in einer App hinterlegt habe/hatte.

Danke für die Aussage.
Ich hätte auch auf irgendeine APP getippt.

Dir kann man nur raten Strafanzeige zu erstatten und die Daten von der Box soweit wie möglich zu sichern.
Ferner würde ich mich an AVM wenden.

Edit: Und checke nach der Anleitung von AMV ob IP Telefone eingerichtet sind bzw. schließe den Fernzugang.

 

[koax]

Was stand denn im LOG bzw. unter SYSTEM, als sich der Angreifer angemeldet hat? Wenn ich mich übers Internet anmelde steht da z.B.
"Anmeldung des Benutzers MeinName an der FRITZ!Box Benutzeroberfläche von IP-Adresse xx.143.xxx.xxx"

Wer sich in die Benutzeroberfläche der Fritzbox eingelogt hat kann auch das Protokoll löschen.

 

[johnripper]

Wir aber lt. diversen Berichten nicht gemacht. Die Hacker sind nicht daran interessiert ihre Spuren zu verwischen.

 

[tq1199]

Wir aber lt. diversen Berichten nicht gemacht.

Evtl. weil man IP-Adressen auch faken kann.

 

[SpaceRat]

Für die 7390 wurde heute eine neue Firmware 6.03 veröffentlicht, deren einzige Änderung lautet:

Neue Features: - Sicherheit: Ausspähen von Benutzerdaten auf FRITZ!Box verhindert.

Was dahinter steckt, weiß ich aber nicht.

 

[rudy102]

Update in der Sache seitens AVM
http://www.computerbase.de/news/2014-02/avm-weist-auf-missbraeuchliche-nutzung-bei-fritz-box-hin/

 

[TelTel]

Ursache laut AVM gefunden:

http://www.avm.de/de/Presse/Informationen/2014/2014_02_07.php3

 

[F-orced-customer]

Ursache gefunden:

http://www.avm.de/de/Presse/Informationen/2014/2014_02_07.php3

Klar.

Über was redet Ihr hier eigentlich über "hacks", "hacker" und "cracks" solange die Tür zu jeder Fritz!Box noch immer für alle und alle trojaner im lan (smartphone apps!) mit dieser "Kindersicherung für Grosse" sperrangelweit offensteht:

http://fritz.box/vergessen.lua?sid=0000000000000000

Einfach anklicken und beim booten per ftp ein eigenes "recovery image" reindrücken, schon gehört einem das Ding :bäh:
Jeden Abend machen damit 1000 Rotzlöffel Ihren alten die Kindersicherung raus

Unbedingt raus damit und das und richtige Überwachung der Box geht NUR per open source software (freetz.org)
und eben nicht wie von AVM behauptet mit dem proprietären closed "Security by obscurity"- Nachtwächter- Zeug:

<i>
</i>[freetz-2.0]
--- patches/Config.in	(Revision 11646)
+++ patches/Config.in	(Arbeitskopie)
@@ -1050,6 +1050,12 @@	help	Hides the "unsupported changes" message from the web interface.
+config FREETZ_REMOVE_FACTORYRESET_LOGIN
+	bool "Remove factoryreset login"
+	default n
+	help
+	Removes unauthorized reset the box using the web interface.
+ if FREETZ_HAS_AVM_USB_HOST comment "USB patches --------------------"
Index: patches/scripts/580-remove_factoryreset_login.sh
===================================================================
--- patches/scripts/580-remove_factoryreset_login.sh	(Revision 0)
+++ patches/scripts/580-remove_factoryreset_login.sh	(Revision 0)
@@ -0,0 +1,9 @@
+[ "$FREETZ_REMOVE_FACTORYRESET_LOGIN" == "y" ] || return 0
+echo1 "Removing factory-reset login"
+for files in \
+	$(find ${FILESYSTEM_MOD_DIR} -iwholename "*usr/www/*/vergessen*" -printf "%P\n") \
+	; do
+	rm_files "${FILESYSTEM_MOD_DIR}/$files"
+done
+
+
*klick* ->
Luacgi not readable filename=/vergessen.lua real_filename=/usr/www/all//vergessen.lua

Und ne schöne Intrusion Detection Meldung gibts noch kostenlos und automatisch per Mail von hier
http://fritz.box/services.lua
dazu, weil der ctlmgr daemon das als Fehlfunktion des Webinterface auffasst :super:

07.02.14 xxxx	Es wurde ein Fehlerbericht versendet

Das müsste DEN schnellsten Weg versperren, aber ganz sicher sein kann man damit auch nicht, eben weil das AVM- Zeugs closed source ist, und das hat eben zur Folge, dass Schlauere, besonders hochmotivierte Gauner, die "Sicherheitslöcher" (oder gar Werks- Hintertüren) schneller finden als die User oder die Geeks der communities und das führt diese ganzen "Security by obscurity"- Sicherheitslegenden von Beamten und der closed source- Industrie seit jeher ad absurdum, besonders wenn noch sowas wie telnet eingebaut wird :zwinker:

Wenn ich Provider wäre würd ich die Cable Boxen für Freetz unterstützen und freigeben, sonst haften die eben weiter alleine für solche Einbrüche, die faule Ausrede mit zu schwachen Passwörtern ist eine kundenfeindliche reine Rechtsverdreher- Schnappsidee, man kann doch einen Kunden/client nicht für geschlamperte, veraltete oder zu billige Sicherheitssysteme eines servers einer Blackbox verantwortlich machen über den doch nur der Betreiber/Hersteller die Kontrolle hat!

 

[Arnie-75]

Aha, Port 443. Und was heißt das jetzt, außer dass genau der Port für den Einbruch enutzt wurde, der halt für den Zugriff / die Fernwartung über das Internet da ist?

 

[articfox]

http://www.avm.de/de/Presse/Informationen/2014/2014_02_07.php3

Ich hoffe doch UM zieht sofort nach!!!

 

[Arnie-75]

http://www.avm.de/de/Presse/Informationen/2014/2014_02_07.php3

Ich hoffe doch UM zieht sofort nach!!!

Wie immer, dauert maximal 6 Monate

 

[F-orced-customer]

Aha, Port 443. Und was heißt das jetzt, außer dass genau der Port für den Einbruch enutzt wurde, der halt für den Zugriff / die Fernwartung über das Internet da ist?

Nein, dafür hat AVM keinerlei Beweise noch fachlich haltbare Szenarien vorgelegt, die c't wird immer mehr zum Klatschblatt.
Cracks erfolgen immer auf dem einfachsten verfügbaren Weg, und der ist hier über trojaner auf Windos oder Android im LAN und
http://fritz.box/vergessen.lua?sid=0000000000000000

 

[Joerg123]

siehe auch: http://www.onlinekosten.de/news/artikel/56735/0/AVM-Neue-Details-zu-FritzBox-Angriffen-Firmware-Update-fuer-7390-bereits-verfuegbar

also wirds wohl bald wieder ein Update geben
da wartet UM schon immer so lange bis sie ihren Kunden endlich eine Firmware auf die Boxen spült, die bei AVM oft schon wieder out ist und dann sowas
wahrscheinlich werden wir in Zukunft noch 3mal länger warten müssen, bis UM sich traut eine neue AVM-Software einzuspielen

 

[sebr]

Überrascht hat mich die Veröffentlichung von AVM nicht wirklich. Ein so gehäuftes Auftreten in kurzer Zeit...
Aber dieser Vorfall bewegt hoffentlich gewisse Leute bei UM dazu mal die Zwangs-Ehe mit AVM und den Fritz Boxen zu überdenken. Hier kann man sich jetzt nämlich nicht mehr so einfach aus der Affäre ziehen: die Boxen sind nur gemietet, die Firmware wird durch UM "aktuell" gehalten und Manipulationen bzw. diese eigenmächtig zu verändern sind ausgeschlossen. Sofern der Kunde nicht grob fahrlässig gehandelt hat (Passwort offen rumliegen lassen etc.) muss UM für den Schaden aufkommen.
Würde man stattdessen wieder Kabelmodems samt VoIP-Logindaten verteilen die dann auf kundeneigenen Routern eingetragen werden, dann wäre man fein raus (aus der Verantwortung). Und der UM-Kunde hätte endlich wieder Wahlfreiheit beim Router da nur das Kabelmodem gestellt wird.
Bei DSL-Providern haben die Kunden jetzt sicher deutlich schlechtere Karten. AVM wird kaum Schadenersatz leisten. Die Provider ebenfalls nicht, da sie ja nicht wie UM, die Kunden nötigen eine FB zu nutzen und es somit in deren Verantwortung liegt einen geeigneten Router auszuwählen und abzusichern.
Ich bin mal gespannt wie UM reagiert. Evtl. eine gefixte FW, oder die "alte" bei der der Fernzugriff deaktiviert wurde. Vielleicht aber auch erstmal gaaaaaanz lange zeit gar nichts...

 

[SpaceRat]

Überrascht hat mich die Veröffentlichung von AVM nicht wirklich. Ein so gehäuftes Auftreten in kurzer Zeit...

Nun, sowas kann verschiedene Gründe haben.

Ich bin mal gespannt wie UM reagiert. Evtl. eine gefixte FW, oder die "alte" bei der der Fernzugriff deaktiviert wurde. Vielleicht aber auch erstmal gaaaaaanz lange zeit gar nichts...

Mich interessiert jetzt vorrangig, welche Boxen überhaupt betroffen sind und ob davon überhaupt noch alle gepflegt werden.

Sollte der Bug z.B. schon in der 7270v1 existiert haben, dann hätten wir noch die ein oder andere tickende Zeitbombe im Netz.

 

[johnripper]

Sofern der Kunde nicht grob fahrlässig gehandelt hat (Passwort offen rumliegen lassen etc.) muss UM für den Schaden aufkommen.
Würde man stattdessen wieder Kabelmodems samt VoIP-Logindaten verteilen die dann auf kundeneigenen Routern eingetragen werden, dann wäre man fein raus (aus der Verantwortung). Und der UM-Kunde hätte endlich wieder Wahlfreiheit beim Router da nur das Kabelmodem gestellt wird.

Sehe ich auch so. Deswegen hat UM bei seinen Fritzbox-Kunden auch so schnell reagiert.

Sollte der Bug z.B. schon in der 7270v1 existiert haben, dann hätten wir noch die ein oder andere tickende Zeitbombe im Netz.

Schau mal auf den AVM FTP. Dort wurden viele aktuelle FW Versionen inkl. der Labor FW entfernt. ich gehe davon aus, dass für die auch eine neue FW kommt. Ist aber nur eine Vermutung.

 

[sebr]

Mich interessiert jetzt vorrangig, welche Boxen überhaupt betroffen sind und ob davon überhaupt noch alle gepflegt werden.

Sollte der Bug z.B. schon in der 7270v1 existiert haben, dann hätten wir noch die ein oder andere tickende Zeitbombe im Netz.

Naja, da weitere Details unbekannt sind kann es ja durchaus sein, dass diese Schwachstelle erst in der letzten Firmwareversion aufgetaucht ist aber in den vorherigen nicht - wer weiß das schon?!

 

[F-orced-customer]

Mich interessiert jetzt vorrangig, welche Boxen überhaupt betroffen sind und ob davon überhaupt noch alle gepflegt werden.

http://freetz.org/changeset/11643
Anscheinend bis jetzt nur die FritzOS Versionen ab xx.06.01 rev27081 bis xx.06.03 rev27348 oder gabs hier auch noch andere Opfer?
Wenn ja bitte bei AVM melden.

 

[Joerg123]

Sollte der Bug z.B. schon in der 7270v1 existiert haben,

tut er wohl, zumindest finde ich bereits ein Update für die alte 7270 beim AVM:
http://www.avm.de/de/frame/frame.php?destination=http%3A%2F%2Fwebgw.avm.de%2Fdownload%2Ft_download.jsp%3Flang%3Dde%26os%3Dwin8%26product%3DFRITZ!Box+Fon+WLAN+7270%26category%3D

und damit ist dann auch klar, dass es das Problem bereits VOr FritzOS6.0 gegeben haben muss

 

[marty7]

Das Update ist für die 7270v2

<i>
</i>Diese Firmwares sind nur für FRITZ!Box Fon WLAN 7270-Modelle ab v2 geeignet!

Neue Features: - Sicherheit: Beobachtete Angriffe auf Port 443 verhindert (ab FRITZ!OS 5.54)
- ab FRITZ!OS 5.50:

@SpaceRat sprach von der 7270v1 :kafffee:

 

[Alter_Analog-Nutzer]

Das Problem mit den ungewollt hohen Telefonrechnungen könnte man auch dadurch vermeiden, wenn UM eine Einstellmöglichkeit für maximale Telefonkosten anbieten würde (und zwar nicht in der Fritz!Box, sondern direkt anbieterseitig). Mein alter Telekom-Anschluss hatte so einen „Begrenzer“.

Vielleicht liest ein UM-Mitarbeiter mit. Er kann das gerne als Verbesserungsvorschlag weitergeben.

:smile:

 

[Frankie72IEC]

Laut "Fritz!Box"-Seite auf Facebook sind Sicherheits-Updates für FRITZ!Box 7490, 7390, 7270 und weitere jetzt verfügbar!

Man darf gespannt sein, wann Unitymedia mit einem solchen rausrückt, denn ich vermute mal, dass von AVM-Seite auch für die Kabelversionen bereits eines zur Verfügung steht. Alles andere würde mich wundern.