> > > > Sicherheitslücke in Fritz!Box-Routern größer als angenommen (Update)

Sicherheitslücke in Fritz!Box-Routern größer als angenommen (Update)

DruckenE-Mail
Erstellt am: von

avmDie von AVM Anfang des Monats publik gemachte Sicherheitslücke in Fritz!Box-Routern ist größer, als bislang angenommen wurde. Konnten Angreifer dem Berliner Unternehmen zufolge lediglich über die Fernzugriffsfunktion unbefugten Zugang zur Fritz!Box erlangen, soll dies laut heise Security auch auf einem anderen Weg möglich sein.

Denn gemeinsam mit dem Reverse-Engineering-Spezialisten Hanno Heinrichs konnte man herausfinden, dass schon der Aufruf einer manipulierten Webseite mit einem PC ausreicht, der mit einer Fritz!Box verbunden ist. Der Schadcode der Seite führt automatisiert mehrere Befehle aus und überträgt die Konfigurationsdatei des Geräts an einen Server. Das Problem dabei: Die Datei enthält zahlreiche Daten, unter anderem auch das Administrations-Passwort - im Klartext. Da der unbefugte Zugriff bis zu diesem Zeitpunkt vom Nutzer nicht erkennbar ist, können die Angreifer mit dem erlangten Daten Zugriff auf den Router erhalten und ihre Schad-Software installieren respektive Telefoniemehrwertdienste und ähnliches einrichten.

heise Security zufolge reicht die Deaktivierung der Fernzugriffsfunktionen wie von AVM empfohlen nicht aus, um sich und die Fritz!Box vor solchen Attacken zu schützen. Erst das Einspielen des vor gut einer Woche bereitgestellten Sicherheits-Updates sorgt für Abhilfe. Klar ist damit aber auch: AVM wusste vom gesamten Umfang der Lücke, hielt die nun gewonnenen Erkenntnisse jedoch zurück.

Unklar ist aber weiterhin, wie die ersten Router kompromittiert wurden. Experten gingen anfangs davon aus, dass der vom BSI Mitte Januar gemeldete Diebstahl von rund 16 Millionen E-Mail-Adressen im Zusammenhang damit stehen könnte. Nun aber gilt auch die zweite Lücke als möglicher Einfallsweg, der von Anfang an genutzt wurde. Offen ist derzeit aber auch noch die genaue Anzahl derjenigen, deren Fritz!Box tatsächlich manipuliert worden ist. Letzten Berichten zufolge soll es sich allein bei Kabel Deutschland um eine Zahl im mittleren dreistelligen Bereich handeln.

Update: In einer Stellungnahme seitens AVM heißt es, dass man die neuen Hinweise nicht kommentieren könne. Allerdings schliesst man aus, dass die nun bekannt gewordene zweite Lücke im Vorfeld missbräuchlich genutzt wurde: „Wie bereits informiert, fanden Angriffe auf die FRITZ!Box ausschließlich von außen über Port 443 statt.“ Eine Begründung für diese Annahme liefert das Unternehmen nicht, weist aber darauf hin, dass das verteilte Sicherheits-Update auch dieses Einfallstor schliesst.

Social Links

Ihre Bewertung

Ø Bewertungen: 5

Tags

Kommentare (38)

#29
customavatars/avatar178171_1.gif
Registriert seit: 07.08.2012
Raum Stuttgart
Oberleutnant zur See
Beiträge: 1446
Ich habe mir den SternTV Bericht angeschaut und dort wird davon berichtet, dass quasi ALLE Boxen injecttion-anfaellig sind.

Dabei wird die ar7.cfg samt unverschluesseltem Passwort an den Angreifer gesendet. Der 'Computer-Profi' Meinte dass man sich nun auf die Box einloggen kann.
Doch wie soll das gehen, wenn ich jeglichen Fernzugang deaktiviert habe? Ich mein - okay - der Angreifer besitzt meine IP + das 'root' kennwort meiner Fritz, trotzdem sollte es wertlos sein oder
taeusch ich mich da grad (Sofern meine Box up2date ist!)?

Grueße

[edit]
Ganz wichtig sollte auf jeden fall sein, TELNET auf den boxen zu deaktieren, falls man das manuell gemacht hat!
[/edit]
#30
Registriert seit: 19.01.2007

Vizeadmiral
Beiträge: 6756
durch den aufruf einer schadhaften website können auf der box beliebige befehle ausgeführt werden, beim aufruf der webseite kann also entweder der vorhandene remotezugang aktiviert werden (was aber ersichtlich wäre) oder ein ganz eigener telnet/ssh daemon installiert werden der dann auf einem unbekannten port hört und sich so einen remotezugang verschaffen ohne dass, das erst mal ersichtlich ist...oder auch nur ein trojaner platzieren der passwörter u.ä. sammeln soll. Die möglichkeiten sind vielfälltig
#31
customavatars/avatar178171_1.gif
Registriert seit: 07.08.2012
Raum Stuttgart
Oberleutnant zur See
Beiträge: 1446
Und das funktioniert jetzt - trotz dem SecurityUpdate seitens AVM immernoch?
#32
Registriert seit: 19.01.2007

Vizeadmiral
Beiträge: 6756
nein nach dem update nicht mehr, da funktioniert das auch nicht mehr wenn der remotezugang aktiviert ist.
#33
customavatars/avatar178171_1.gif
Registriert seit: 07.08.2012
Raum Stuttgart
Oberleutnant zur See
Beiträge: 1446
Okay, das beruhigt mich. Bin bei sowas immer extrem paranoid weil relativ viele 'unwissende' Menschen hinter dieser Box haengen. ^^
#34
Registriert seit: 06.04.2012

Kapitänleutnant
Beiträge: 1598
Na dann lass mal lieber nicht die Frage in deinen Kopf, wie vertrauenswürdig ein Update ist, was die im Zweifelsfall kompromittierte Kiste selbst macht. Wer sagt denn, dass das Update überhaupt gemacht wurde und die Kiste dir nicht nur anzeigt, dass es gemacht wurde? Oder vielleicht wurde es gemacht, die Lücke ist auch zu, nur die weitere Hintertür, die der potentielle Angreifer sich erstellt hat, ist immer noch da?

Dummerweise kann man auf einer Fritzbox keine LiveCD booten und das System von Grund auf überprüfen. Extreme Paranoia und Blackbox-Plasterouter geht mal gar nicht zusammen.

Bis zur nächsten Meldung dann.
#35
Registriert seit: 03.08.2006

Oberbootsmann
Beiträge: 775
Also Boxen von Cisco und D-Link fallen aktuell auch...
Die Aktion von AVM alle betroffenen Boxen zu supporten, also auch die EOL, finde ich auch sehr gut. Aber irgendwie ist das für ich auch "zwangsläufig". Soviel Spielraum gabs da nicht. Den hat(te) Microsoft mit XP auch nicht...
Wobei natürlich NICHT JEDE Box von dem Fehler betroffen ist. Ich hab hier eine Email von AVM die in quasi eidesstaatlichen :) Manier versichert, daß eine 3070 von DEM Fehler nicht betroffen ist. Man sollte sich mit pansichen Pauschalisierungen nicht gleiuch überschlagen.

Die Art der Fehler oder die Geschichte mit den quasi-Klartext Passwörtern stimmt mich aber nicht optimistisch. Das entwickelt sich alles zu einer Plasterouter-Apokalypse. Wobei, gabs sowas nicht auch schon mehrmals bei namhaften 19" Kisten? ;)

Auch ein neuerer Modemtreiber der langsamer und nicht wenigstens stabiler ist, ist nicht akzeptabel. Das muß man mal GLASKLAR kommunizieren. Egal was der Entwickler sich dabei gedacht hat, er dachte schlicht falsch. Das muß er und jemand anderer im Team doch merken?? Oder den Treiber als noch Beta-Koponente ausweisen. Das stellt sonst das gesamte Managment der Softwarentwicklung irgendwie in Frage.
Das ist schon nah an lächerlich. Kann man leider nicht anders betitteln. Da spüre ich nichts von dem angeblich sonst peniblen-pingeligen german engineering. Oder gilt der nicht für Software?!

Kennwörter... Sichere... Hab ich 5x getippt, 5x hat sie es wortlos geschluckt und 5x hat mich eine Fritzbox nach dem Aufruf der Oberfläche gefragt, ob ich nicht eins vergeben will. WTF, ehrlich. Da sucht man sich einen Wolf im Netz bis man bei AVM die Seite findet wo es steht, daß sie kein § verarbeiten. Und die Anzahl der Zeichen? Unter Kennwort steht hier keine Anzahl. Steht erst unter Benutzername und SSID usw. Oder?
FRITZ!Box 7270-Hilfe - Zeichen für Kennwörter, Schlüssel und Namen
Mit 41 Zeichen hat es aber vor einigen Updates nicht funktioniert. Mit 30 schon, wenn man kein § nutzt.

Gut ist kein Drama, aber mal was dazu ausgeben nach der Bestätigung? Nichts. D.h. du vergibst ein Passwort, landest zurück auf der Oberfläche, du konfigurierst, machst zu/aus. Und bist fertig. Und hast nicht gemerkt, wenn du die Boxen nicht gut kennst, daß kein Kennwort vergeben ist.
Denn wenn sie es akzeptieren, mußt du es danach erst eingeben. Das muß man aber wissen, wenn man es nicht direkt selbst kontrolliert, und feststellt, daß sie wieder das Setzen eines Kennwortes vorschlägt. Alter Schwede...

p.s.:
Ich hab gestern aus dem Lab die v6 27674 (07.03) installiert. Auf einer 7270v3. Über die Hardware will ich nicht mehr meckern. Seitdem ich allen Prozessoren Zalman ZM-RHS1 verpasst habe und auf dem Roten paar der Schlitze der 7272 fein eingearbeitet habe läuft die über Stunden unter absoluten Vollast (testweise) auf allen connects stabil.
"Reiner" Download ist bei 6Mbit nahezu wie 3070 Index of / "Seitensurfen" ist dagegen kleinwenig lebendiger. Es schmerz also nichts, da sie auch unter Vollast weniger als die 3070 einbricht.

[COLOR="red"]- - - Updated - - -[/COLOR]

Damit das nicht einzeln so lang wird... Dazu noch:

Ich kann den Thesen von TCM so pauschal nicht zustimmen. Auch wenn ich mir ziemlich sicher bin, daß seine Umgebung CCC-sicher ist ;) Aber "layered security" sind mehrere Kisten mit vielfältigen Einstellungen. Da sind die Möglichkeiten Fehlkonfigurationen zu machen ungleich größer als bei einem Plasterouter.
Mit dem Unterschied, den größeren Mist kann bei der Konfig der Benutzer selbst bauen. Bei einem Plasterouter der Hersteller. Bei so einem kleinen Biotop an Hardware (Was es ja ist. Die vielen Modelle bedeuten nicht eine au der Sicht der Sicherheit ebenso große Imagevielfalt) und eben nur sehr wenigen Grundimages, darf ich das als Benutzer schon PER SE verlangen.
Grad AVM kann es sich einfach nicht erlauben hier einen Wald&Wiesen Mist wie CryptoCat und andere zu bauen.

Wie gesagt gibt es einige Sachen die hochkommen oder wieder aufgewärmt werden bei denen ich AVM empfehle das Softwaremanagment umzubauen. Es wurde sich in Post-Snowden-Ära auch aus geschäftlicher Sicht anbieten - anders argumentieren kann man heutzutage wohl eh nicht - sowas wie eine "fritzsicher, Adjektiv" Initiative zu fahren. Kein PR-Bullshit, sondern intern.

Dann kann man EIN Modell auch über Jahre verkaufen, wenn sich das bestätigt und rumspricht. 10 neue Funktionen pro 2 neue Modelle im Jahr braucht mittlerweile keine Sau mehr. Und auch auf SmartHome werde ich eher verzichten, wenn ich mir nicht sicher bin, daß der Student im Haus gegenüber zur besten Kika-Zeit vielleicht Pr0n auf meine Glotze streamen kann oder meine Heizung auf 60°C stellt.

ALLE Features einer Box sind nur Müll, falls die Firmware sicherheitstechnisch shice ist. Und wie es mir scheint sind nun die Routerhersteller dran. Da würde es sich anbieten NICHT hinterherzuhecheln, Hr. Faxel.

Die Konfig von TMC gefällt mir für die deutsche Botschaft in London :) aber wenn es sich zwingend anbietet soetwas in einer 4-Zimmer Wohnung zu fahren, um mit einem Rechner über LAN und einem über WLAN ins Internet zu gehen, dann ist das ein Zustand.
#36
Registriert seit: 07.07.2007

Kapitänleutnant
Beiträge: 1632
Zitat BessereHälfte;21946434
Die Art der Fehler oder die Geschichte mit den quasi-Klartext Passwörtern stimmt mich aber nicht optimistisch. Das entwickelt sich alles zu einer Plasterouter-Apokalypse.
Das richtig ärgerlich daran ist mMn eher, dass das schon immer so ist bei AVM. Ich meine, was für einen Grund - außer Dummheit und Faulheit - kann es geben, Passwörter im Klartext zu speichern? Mir fällt keiner ein.
#37
Registriert seit: 03.08.2006

Oberbootsmann
Beiträge: 775
Jein. Die Box speichert nur für sich selbst boxrelevante Passwörter. Wenn ich auf der Box an die Passwortdatei nur rankomme, wenn ich auf ihr schon eh als Root unterwegs bin, dann nutzen mir die Passwörter auch nichts mehr, denn ich brauch sie für nichts mehr.

Wenn man übers Netzwerk auf einen anderen Rechner kommt, dann ist es auch egal, ob man das Anmeldepasswort des laufenden Benutzers mit rausbekommt oder nicht. Man ist ja schond rauf.

Das ist also schon eine leicht andere Geschichte als z.B. bei einem Mehrbenutzer-Mailserver. Da jetzt gleich deswegen die absolute Dramaqueen zu schieben ist nicht sachlich (imho).

Hash mit Salz gehört aber irgendwie trotzdem zu den Basics und gutem Ton. Wenn man das gleich direkt macht, dann spart man Geld, denn dann braucht man keine Zeit dafür opfern, um sich Szenarien auszudenken ob das jetzt auf diesem oder jenem System Sinn macht oder nicht.
Und sich zusätzliches Gemecker ersparen, wenn die Leute sich noch zusätzlich darüber aufregen, wenn die Box an einer ganz anderen Stelle aufreisst.
#38
Registriert seit: 03.08.2006

Oberbootsmann
Beiträge: 775
fefe mal bissl über AVM am quaseln ;)
Fefes Blog
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Synology DS216j im Test

Logo von IMAGES/STORIES/REVIEW_TEASER/SYNOLOGY_DS216J_TEASER

Synology hat mit der DiskStation DS216j vor kurzem den Nachfolger der sehr erfolgreichen Einsteiger-NAS DS215j vorgestellt. Die DS216j ist ein kompaktes NAS-System für zwei Festplatten, welches dank aktuellem Betriebssystem DiskStation Manager 6.0 mit umfangreichen Funktionen aufwarten kann. Im... [mehr]

Synology DS216play im Test

Logo von IMAGES/STORIES/REVIEW_TEASER/SYNOLOGY_DS216PLAY_TEASER

Die im letzten Jahr vorgestellte Synology Diskstation DS216play ist ein 2-Bay-NAS, welches besonders durch seine Transkodierungsfähigkeiten hervorstechen soll und somit auf den Multimedia-Bereich zielt. Das DS216play soll dank eines leistungsfähigen ARM-SoCs auch hochauflösende 4K-Videos... [mehr]

AVM FRITZ!Box 7580 mit MU-MIMO im Test

Logo von IMAGES/STORIES/GALLERIES/REVIEWS/2016/FRITZBOX7580/FRITZBOX-7580-LOGO

Bereits seit Monaten rührt AVM fleißig die Werbetrommel für die FRITZ!Box 7580, die als vorläufiges High-End-Produkt aus Berlin schnelles WLAN mit den aktuellen DSL-Standards verbindet. MU-MIMO ist dabei das Stichwort und soll die WLAN-Leistung der FRITZ!Box wieder an die Spitze bringen. Das... [mehr]

Ausprobiert: Synology Diskstation Manager 6.0 Beta 2

Logo von SYNOLOGY

Der DiskStation Manager als Betriebssystem der NAS-Systeme von Synology ist sicher der entscheidene Faktor, warum Synology im NAS-Markt so erfolgreich ist. Das Userinterface, was mit seinem Desktop-Look einen einfachen Einstieg ermöglicht, bietet ebenso einen leichten Zugriff auf die Vielzahl an... [mehr]

Synology DS116 und DS916+: Neues Einsteiger- und High-End-NAS

Logo von IMAGES/STORIES/LOGOS-2013/SYNOLOGY

Synology hat am Donnerstag zwei neue NAS-Geräte vorgestellt, die unterschiedlicher nicht sein könnten. Während die Synology DiskStation DS116 sich eher an preisbewusste und weniger anspruchsvolle Käufer richtet, ist die DiskStation DS916+ deutlich leistungsfähiger und natürlich teurer. Sie... [mehr]

Netgear AC1750 und Synology RT1900ac im Test

Logo von IMAGES/STORIES/GALLERIES/REVIEWS/2016/SYNOLOGY-RT1900AC/SYNOLOGY-RT1900AC-LOGO

Von Jahr zu Jahr finden sich mehr WLAN-fähige Geräte in deutschen Haushalten. Deren immer größerer Bedarf an möglichst schneller WLAN-Versorgung bringt die von den Internetanbietern zur Verfügung gestellten Router schnell an ihre Grenzen - diese vertrauen zu einem Großteil auf die... [mehr]