• Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
    Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Unitymedia Sind wir von Cable Haunt betroffen?

Diskutiere Sind wir von Cable Haunt betroffen? im Internet und Telefon über das TV-Kabelnetz Forum im Bereich Internet und Telefon; Ein dänisches Forscherteam hat eine neue Schwachstelle in Kabelmodems gefunden. Leider konnte ich keine Stellungnahme von Unitymedia dazu finden...
  • Sind wir von Cable Haunt betroffen? Beitrag #1

Khaos

Beiträge
2
Punkte Reaktionen
0
Ein dänisches Forscherteam hat eine neue Schwachstelle in Kabelmodems gefunden. Leider konnte ich keine Stellungnahme von Unitymedia dazu finden. Sind wir nun betroffen? Ist ein Fix in Arbeit oder gar schon gepatcht?
Mehr Info dazu hier: https://cablehaunt[dot]com/
 
  • Sind wir von Cable Haunt betroffen? Beitrag #2


The reason for this is that the vulnerability originated in reference software, which has seemingly been copied by different cable modems manufacturers when creating their cable modem firmware.

Dann sind alle betroffen.
 
  • Sind wir von Cable Haunt betroffen? Beitrag #3
Vermutlich ja. Es ist also wie immer: es gibt Lücken immer und überall. Die meisten sind nicht gefunden, die wenigsten werden tatsächlich genutzt.
 
  • Sind wir von Cable Haunt betroffen? Beitrag #4
  • Sind wir von Cable Haunt betroffen? Beitrag #6
Ist ja interessant. Hat jemand die Reverse Shell des Sagem Exploits mal am TC4400 ausprobiert?
 
  • Sind wir von Cable Haunt betroffen? Beitrag #7
Warum fragste das nicht im TC4400 infothread?
 
  • Sind wir von Cable Haunt betroffen? Beitrag #10
Weil es um den Exploit geht und der TC4400 zugemüllt ist.
Glaub ich nicht, die Adressen der dafür benötigten Funktionen dürften verschieden sein mit denen des S@gemcom.

Aber das wäre mal generell interessant, um an die eCos-Shell zu kommen:
Code:
snmpset -v2c -c private 192.168.0.1 1.3.6.1.4.1.4413.2.2.2.1.9.1.2.1.0 i 2
snmpset -v2c -c private 192.168.0.1 1.3.6.1.4.1.4413.2.2.2.1.9.1.2.1.0 i 0
snmpset -v2c -c private 192.168.0.1 1.3.6.1.4.1.4413.2.2.2.1.9.1.2.1.0 i 2
Im unprovisionierten Zustand... vermutlich dürfte es bei uns die 192.168.100.1 sein, aber evtl. hört auch kurzzeitig beim Bootup was auf die 192.168.0.1 ? Das viele DOCSIS CPEs und auch der Standard einfach IPs aus dem RFC1918 Bereich okkupieren gehört eigentlich auch bestraft...
 
  • Sind wir von Cable Haunt betroffen? Beitrag #12
Wer postet das Zeug jetzt eig. im Nachbarforum ? ^^
 
  • Sind wir von Cable Haunt betroffen? Beitrag #13
ich weiss jetzt nicht wie es mit Connectbox und Modems aussieht, aber wenn es ein Broadcom-Chipsatz Problem ist, dann ist die Fritzbox aussen vor ? dafür haben die Kabelfritten doch schon seit Ewigkeiten den Intel-Puma-Bug *g*
 
  • Sind wir von Cable Haunt betroffen? Beitrag #14
Buffer overflow geht Plattform(chipsatz)übergreifend.
 
  • Sind wir von Cable Haunt betroffen? Beitrag #15
Glaub ich nicht, die Adressen der dafür benötigten Funktionen dürften verschieden sein mit denen des S@gemcom.

Schon richtig. Die Entwickler schreiben auch, dass bei anderer Firmware erst die interessanten Adressen gefunden werden müssen. Da steht halt einfach sinngemäß in einem Satz: "ach, ihr müsst dazu nur die Firmware disassemblen um die Adressen zu finden" :)
 
  • Sind wir von Cable Haunt betroffen? Beitrag #16
Buffer overflow geht Plattform(chipsatz)übergreifend.
Ja, aber dieser Explizite in der Startfrequenz des Spectrum Analyzers geht nur bei Broadcom-basierten DOCSIS SoCs, wüsste nicht das die Puma-Chips eCos nutzen würden. Sicher wird es bei Intel auch genug BO geben, die haben ja schon mit ihrer Implementierung der spekulativen Codeausführung so ihre Sicherheitsprobleme ^^
 
  • Sind wir von Cable Haunt betroffen? Beitrag #17
Schon richtig. Die Entwickler schreiben auch, dass bei anderer Firmware erst die interessanten Adressen gefunden werden müssen. Da steht halt einfach sinngemäß in einem Satz: "ach, ihr müsst dazu nur die Firmware disassemblen um die Adressen zu finden" :)
Ja sicher, so haben sie die Lücke ja überhaupt erst entdeckt ^^ So eine reverse Shell zum eCos wäre natürlich recht nett zum Spielen :p
 
  • Sind wir von Cable Haunt betroffen? Beitrag #18
Der PoC des Sagemcom F@st 3890 () funktioniert beim TC4400 wohl augenscheinlich nicht:


Code:
jw@jw-thinkpad ~/sagemcom-fast-3890-exploit $ python exploit.py * Serving Flask app "exploit" (lazy loading) * Environment: production WARNING: This is a development server. Do not use it in a production deployment. Use a production WSGI server instead. * Debug mode: on * Running on http://0.0.0.0:8085/ (Press CTRL+C to quit)
127.0.0.1 - - [12/Jan/2020 13:20:14] "GET / HTTP/1.1" 200 -
127.0.0.1 - - [12/Jan/2020 13:20:14] "GET /exploit.js HTTP/1.1" 200 -
127.0.0.1 - - [12/Jan/2020 13:20:15] "GET /favicon.ico HTTP/1.1" 404 -

...öffnet sich keine Shell, TC4400 bleibt weiterhin erreichbar.
 
  • Sind wir von Cable Haunt betroffen? Beitrag #20
Bringt Dir kaum etwas, da der Upstream eh schon fast überall mit 50 am Limit läuft ;). 80 war das Maximum was ich mal geschafft habe, aber auch nur Vormittags.
 
  • Sind wir von Cable Haunt betroffen? Beitrag #21
Das ist immerhin doppelt so viel wie jetzt.
Danke Business 400 🙃
Bei der nächsten Laufzeit wird es doch wieder ein Privatkunden Tarif, hoffentlich gibt es bis dahin bei mir Gigabit und einen entstörten OFDM fürs TC4400.

Mit welchem Tarif konntest du 80 Mbits im Upload erreichen?

Zudem bleibt die Frage wie lange das seitens UM unentdeckt bleibt. Irgendwo wird da sicherlich eine Nachricht aufschlagen.
 
  • Sind wir von Cable Haunt betroffen? Beitrag #23
Fast, 1000/50 jeweils. Wobei bei mir inzwischen Abends nicht mal mehr die 50 ankommen. QAM16 sei dank...
 
  • Sind wir von Cable Haunt betroffen? Beitrag #24
Mir ist Stabilität meiner gebuchten und bezahlten 100/5 Datenraten lieber. als die Möglichkeiten eines auf einfachem Wege "aufgeknackten und beschleunigten" Kabelmoden.

Abends ist nach meinen CableloadMonitor - Messungen in der Regel nur noch 100 ... 300 MBit/s im von mir genutzten Kabelsegment von der verfügbaren Bandbreite NICHT genutzt.
Da kämen mir gerade ein paar Skript Kiddies im Segment recht, die plötzlich für Tests dauerhaft viel Bandbreite belegen, um sich permanent zu beweisen, dass sie die tollsten Hacker des Universums sind ...
 
  • Sind wir von Cable Haunt betroffen? Beitrag #25
Ist die CMTS gut programmiert, gibt es eh nicht mehr als das Gebuchte bzw. ein falsches Configfile führt zum Fehler. Ich bezweifle dass hier überhaupt jemand Erfolg hat.
 
Thema:

Sind wir von Cable Haunt betroffen?

Sind wir von Cable Haunt betroffen? - Ähnliche Themen

Vodafone West

SIP Daten bekommen

Vodafone West SIP Daten bekommen: Moin, ich habe einen "Red Business Internet & Phone 1000 Cable" mit Fester IP und Miet Fritzbox 6690. Vor einigen Jahren habe ich von Unitymedia...
Was ist hier das Problem?: Hallo Leute. Ich bin der Meinung, dass mit meiner Internetleitung etwas nicht stimmt. Anbieter: Vodafone Gebiet: NRW (Mietwohnung / Großstadt)...
AVM veröffentlicht FRITZ!OS 8.0 für 6690 Cable: Hallo Community, anbei der Link zur Veröffentlichung. AVM Update-News
Vodafone Station - andauernder Dicsonnect: Hallo, gutes Neues auch noch ! Ich hab gerade wieder mit andauernden Verbindungsabbrüchen mit meinem Windows-Laptop zur Vodafonestation zu...
Kein Zugriff mehr auf Synology NAS per DDNS über o2online Kabelinternet: Hallo Zusammen, ich habe mit meiner 1000Mbit-Leitung von Vodafone zu o2online gewechselt. Jetzt stellt sich heraus, dass o2 kein DualStack für...
Oben