Unitymedia Technicolor TC4400 Docsis 3.1 Modem Info Thread

[sparkie]

Ich weiß nicht ob das reicht, denn es gibt Software bzw. source code mit der/dem man das Forwarding des Kernel ändern bzw. umgehen kann und deshalb gar nicht benötigt.

kapier' ich nicht. Die angegebene firewall rule reicht voellig, sofern nicht auf dem Firewall selbst schon Schadcode laeuft

bis vor kurzem war es jedoch im Netz des Anbieters Pyur so, dass man sogar vom Management-Netz aus (also HFC-seitig) auf die Endgeraete beliebiger anderer Nutzer zugreifen konnte.

siehe auch: #6.767 - Hammer Bug in Pyur Management Netz

Hier haette man sich in der Tat nicht gegen den TC4400-Exploit wehren koennen. Aufgrund meines Hinweises hat Pyur ihre lachsen Firewalleinstellungen jetzt aber gefixt. Ich kenne keinen anderen Anbieter als Pyur mit so einem Hammer-Bug in der Konfiguration.

Somit: ist alles gut

 

[UHeinz13]

So hier scheint es wieder zu laufen ... OFDM-Block ist wieder gerichtet!

Testweise mal in der letzten knappen Stunde 100 GB gezogen mit diesem Ergebnis. Denke die Fehleranzahl (unkorrigierbaren) auf dem OFDM ist vernachlässigbar...

 

[JPDribbler]

Wir haben bisher nur die .41. Ich schaue mal was ich finde.

Fragst du Werner? Der hat die auch noch nicht gelistet. Wäre interessant ob man eine Changelog findet bevor ich die 41 aufspielen lasse. Und lebt Tobsen noch?

 

[MichaelBre]

Und lebt Tobsen noch?

Ja, hab gestern schon mit Ihm geschrieben.
Er schaut nie ins Forum, am besten mir schreiben und ich geb es weiter an Ihn.

 

[Gunah]

habe hier für KDG das TC4400 mit der Firmware "70.12.41-180903" und das Modem Crashed mit dem "Test Script" - github.com/Lyrebirds/cable-haunt-vulnerability-test

Daher muss wohl ein Update von TC4400 - schade hatte letzte Jahr extra beim Umzug ein Update machen lassen, durch Werner, denke mal muss man nun wieder machen.

 

[MichaelBre]

Wie bist du mit der 41er auf den Spectrum Analyzer gekommen?

 

[Gunah]

aus machen, Coax Kabel abziehen, an machen (ohne Coax Kabel). dann kommst du drauf

 

[MichaelBre]

Mit Sync aber nicht mehr?
Dann besteht doch keine Gefahr...

 

[Gunah]

naja man sollte dennoch schauen, was Vodafone/UM am ende daraus drehen

 

[rv112]

Ein Gerät was nicht angeschlossen ist, interessiert UM nicht. Sobald es verbunden wird, war es das mit dem Bug. Von daher kein Grund zur Sorge.

 

[rv112]

Fragst du Werner? Der hat die auch noch nicht gelistet. Wäre interessant ob man eine Changelog findet bevor ich die 41 aufspielen lasse. Und lebt Tobsen noch?

Die Anfrage läuft...

 

[UHeinz13]

Was sagen eigentlich diese Meldungen im Eventlog des TC4400 aus?

Wechselt da die Modulation des OFDM hin und her, oder wie ist das zu verstehen ...

 

[Edding]

16 bedeutet das zuviele FEC fehler auf dem OFDM Profile aufgelaufen sind
24 das die FEC fehler wieder im Rahmen sind für das Profil

 

[rv112]

Damit wird die Modulation umgeschaltet, ja. Im Grunde kein Grund zur Sorge.

 

[Nurum]

So ich muss nochmal nachhaken. Stimmen diese Aussagen, so wie ich sie verstanden habe?

1. Das TC4400 ist von Cable Haunt betroffen da es den Spectrum Analyzer Code von Broadcom benutzt.
2. Spectrum Analyzer ist nur von der LAN Seite und dem Management Netz des Providers aufrufbar.
3. Solange mein lokales Netzwerk und das Management Netz meines Providers sicher ist, kann die Schwachstelle nicht ausgenutzt werden.

Wäre ein TC4400 mit Firmware 70.12.41 bei folgendem Angiffsszenario verwundbar?
Angreifer hat zugriff auf das lokale Netzwerk. Er startet das Modem über Weboberfläche durch "Restore Default Settings" neu.
Bevor das Modem nach dem Neustart online geht, ist der Spectrum Analyzer verfügbar(?).
Der Zeitraum reicht aus um den Cable Haunt Exploit auszuführen(?).

 

[MichaelBre]

Grundsätzlich ja.
Der Zeitraum dürfte sich zwar im Bereich weniger Sekunden bewegen, kann allerdings für eine gut geschriebene Software schon ausreichen.

 

[Wechseler]

Von Cable Haunt sind vorrangig Modem-Router betroffen, die direkt am LAN hängen. Die brauchen zwingend einen Patch, der gemäß DOCSIS-Spezifikation vom KNB kommen muß. Ein Bridge-Modem kann man simplest gegen Angriffe auf Admin-Interfaces absichern, indem man den vorgeschalteten Router entsprechend sinnvoll konfiguriert. Hier zeigt sich ja gerade der Vorteil dieses Szenarios.

Dann kann man natürlich keinen Spektrum-Analyzer mehr nutzen oder Leitungswerte sehen, aber für den alltäglichen Internetzugang ist das ja auch nicht erforderlich.

 

[rv112]

Mit der .40 aufwärts ist man sicher. Und mit einer vernünftigen Firewall auch mit der .33.

 

[vnheilig]

Hier mal eine kurze Zusammenfassung von meinem heutigen Test bezüglich der Cable Haunt Attacke:

Mein TC4400 (Testsystem)

• Board ID: BCM93390DCM
• Build Timestamp: Sep 3 2018 11:13:38
• Software Version: 70.12.41-180903
• Linux Version: 3.14.28-Prod_18.1

Verhalten ohne Internetverbindung (ohne Koaxialkabel)

1. Die Weboberfläche des TC4400 ist unter der http://192.168.100.1 zu erreichen.
2. Der Spectrum Analyzer des TC4400 ist unter der http://192.168.100.1:8080 zu erreichen.
3. Das TC4400 ist mit o. g. Firmware mittels Cable Haunt Attacke verwundbar und startet nach dem Test Script neu.
4. Die Cable Haunt Attacke funktioniert nur, wenn zuvor eine Authentifizierung mit Benutzer und Passwort stattgefunden hat.

Verhalten mit aktiver Internetverbindung (mit Koaxialkabel)

1. Die Weboberfläche des TC4400 ist via pfSense unter der http://192.168.0.1 zu erreichen. Ehrlich gesagt habe ich keine Ahnung, warum über die 0.1.
2. Der Spectrum Analyzer ist abgeschaltet bzw. nicht erreichbar. Demzufolge ist auch keine Cable Haunt Attacke möglich.

Als Workaround scheint wohl mehr oder weniger folgendes in Betracht zu kommen:

1. (Wie bereits erwähnt) den HTTP Alternate (Port 8080) des TC4400 in der Firewall komplett dicht machen (insofern möglich).
2. Die Standardpasswörter für die Benutzer ändern, damit eine Authentifizierung durch Fremde nicht (mehr) möglich ist bzw. zumindest erschwert wird.

Hoffe, ich habe nichts vergessen.

 

[sparkie]

erst mal danke fuer deine Zusammenfassung

Die Standardpasswörter für die Benutzer ändern, damit eine Authentifizierung durch Fremde nicht (mehr) möglich ist bzw. zumindest erschwert wird.

die ganze Hirnlosigkeit der hier taetigen Firmware-Hersteller zeichnet sich gerade dadurch aus, dass

1. delikate Zugangsfunktionen oder offene Ports (hier: des Spectrumanalyzers), die man allenfalls mal gelegentlich nutzt, nicht abschaltbar sind.
und noch besser:
2. Benutzer und Passwort hierfuer obendrein hart eingebrannt sind. Wo doch inzwischen jedes Kind weiss, dass man Standardpasswoerter moeglichst bald aendern soll

mit "Standardpasswörter für die Benutzer ändern" ist also leider nichts (zumindest fuer den Spectrumanalyzer)

 

[Samsungstory]

Kotzt mich schon an. Kann das Modem nicht updaten lassen, weil es dann an nem Cisco CMTS nicht mehr online kommt. Ist zumindest mit der 33er und 40er bisher so. Momentan läuft ja noch die 20er

 

[rv112]

Echt?

 

[Samsungstory]

Ja echt. Das zweite Modem hatte ja auch erst die 20er. Lief problemlos. Die 33 er ging ganz kurz Mal und die 40er kommt überhaupt nicht online. Findet keinen Startkanal.

 

[rv112]

Interessant, danke für die Info!

 

[vnheilig]

1. delikate Zugangsfunktionen oder offene Ports (hier: des Spectrumanalyzers), die man allenfalls mal gelegentlich nutzt, nicht abschaltbar sind.
und noch besser:

Ja, wie gesagt, eine praktikable "Lösung" ist das nicht und die sehen anders aus. Da stimme ich Dir 100% zu.

2. Benutzer und Passwort hierfuer obendrein hart eingebrannt sind. Wo doch inzwischen jedes Kind weiss, dass man Standardpasswoerter moeglichst bald aendern soll

Wie meinst Du das genau? Zumindest bei meinem Test war der Zugriff auf den Spectrum Analyzer ausschließlich mit dem admin Benutzer möglich.
Wenn jemand die Firmware bzw. das Filesystem des TC4400 hat, könnte man zumindest mal schauen, ob es auf Linux-Ebene noch weitere Benutzer gibt.