Achtung ! Missbrauchsgefahr bei Fritzboxen

    Zitat von mini73

    "Damals", als fnu das geschrieben hat, war es noch nicht bekannt, dass es ohne Zugangsdaten klappt.

    Ja, das konnte sich keiner vorstellen, das das Tor soweit offen ist. Bekannt war, die Kollegen benötigten nur einen Versuch in die Box zu kommen, was erstmal die Kenntnis der Zugangsdaten nahe legte, ok, wir lächelten dann und waren froh, aber es kam schlimmer ... :rolleyes:


    Egal, wie schonmal gesagt, Problem erkannt, Problem beseitigt und zwar auch für wirklich alte Geräte die keinen Support mehr haben. Würde mich mal interessieren ob die Telekom für Ihre Speedports oder so ein Laden wie TP-Link so (schnell) darauf reagieren würden ...


    Regards
    fnu

    HowTo: APT pinning

    Einmal editiert, zuletzt von fnu ()

    Wobei man sich darüber im klaren sein sollte, daß es immer ein gewisses Risiko ist, auf einer Firewall zusätzliche Dienste laufen zu lassen. Imho ist es bei der Funktionsvielfalt der Geräte ein Wunder, daß so etwas erst jetzt passiert ist...


    CU
    Oliver

    Sehe ich genauso. Weiterhin finde ich, dass sowas wie "Fernzugriff" ein No-Go ist. Und erst Recht ein Fernzugriff über irgendeine "MyFritz"-Plattform. Wenn man von unterwegs ins Heim-LAN muss, dann ist VPN das Mittel der Wahl!

    Moin ,


    passt zwar nicht direkt zum VDR, aber im Forum befinden sich offensichtlich Netzwerkexperten.


    Ein Zenmap-Scan auf meinen Speedport-Router W 722V ergibt: "Discovered open port 443/tcp on 192.168.2.1"
    Weiterhin ergibt der Nmap-Scan, dass es ich beim Router um "AVM FRITZ!Box Wlan 7170 " handelt.


    Ich habe keine DSL-Telefonie (über den Router), sondern Festnetztelefonie; insofern besteht für mich nicht die Gefahr von manipulierten Telefonaten.
    Aber besteht eventuell die Gefahr, dass sämtlicher Datenfluß zum und vom Internet unbefugt ausgelesen werden kann, genauso wie es mein Provider die Telekom (standardmäßig erlaubt) auslesen kann? Ist es angeraten, den Service der Telekom zu informieren. Aber eigentlich müßte man dort Bescheid wissen, falls ein Problem bei diesem Routermodell besteht.


    Vielen Dank im Voraus


    von


    zuhause

    Zitat von zuhause

    Ich habe keine DSL-Telefonie (über den Router), sondern Festnetztelefonie; insofern besteht für mich nicht die Gefahr von manipulierten Telefonaten.


    Wieso das denn nicht? Wenn jemand von außen auf deinen Router kommt und ein SIP-Gerät einrichtet dann hast du "DSL-Telefonie". Das ist doch nichts was man erst bestellen muss.


    Zu deinem offenen Port 443 kann man erstmal pauschal nichts sagen, bei mir ist der Port auch offen, aber wird an meinen Server durchgereicht.


    Gerald


    HP Proliant MicroServer Gen8, Xeon E3-1230, 12 GB RAM, 3xWD red 2TB im RAID 5, 2xSundtek MediaTV Home DVB-C/T, L4M TWIN-C/T, Ubuntu Server 14.04.1, Plex Media Server
    Samsung UE55H6470

    In der Konfiguration meines Speedport-Routers habe ich Festnetztelefonie aktiviert, nicht DSl-Telefonie, weil ich einen Splitter verwende, an den ein NTBA für ISDN angeschlossen ist.
    Wegen der möglichen Gefahr eines unbefugt eingerichteten SIP-Telefons, vielen Dank für den Hinweis, werde ich mich aber an den Service der Telekom (morgen) wenden.


    Bis zum nächsten Moin
    von


    zuhause

    Wenn der Speedport W722 mit der originalen Telekom-Firmware bestückt ist, handelt sich nicht um eine Fritz!Box 7170. Die Hardware-Basis ist zwar ähnlich, aber die Speedport-Firmware bietet viiiieeeel weniger Funktionen als die originalen Fritz!Box'en die auf gleicher HW basieren. Das ist der Grund warum es Tools wie "speed2fritz" gibt, um eben aus dem SP eine FB zu machen ...


    Bei der Telekom FW für die Speedports gibt es IIRC keinen schaltbaren Fernzugang zum WebIF und vorallem kein "MyFritz". Ich bin mir auch gar nicht sicher ob diese alten Speedports überhaupt schon VoIP/SIP als Funktion anboten, wenn dann vmtl. nur für einen Provider, eben T-Home ...


    Wenn also die orig FW drauf ist, würde ich mir den Anruf bei der Telekom sparen, kann durchaus spassig werden. Ist eine sp2fr FW drauf, würde ich ebenso wenig anrufen, dann ist die Sicherheitslücke zwar da, liegt aber ganz sicher nicht in der Verantwortung der Telekom.


    Regards
    fnu

    HowTo: APT pinning

    Hallo,

    Zitat von zuhause

    Discovered open port 443/tcp on 192.168.2.1

    gefährlich wird es erst, wenn der Port von der externen IP erreichbar ist.


    Tschüß Frank

    Dann werde ich mir mal meine jetzige IP-Adresse merken -- der IP-Adresswechsel erfolgt ja erst in der Nacht -- und dann (heute Nachmittag) vom Internet her einen Scan per Nmap auf meinen Router loslassen

    Vielen Dank
    soeben getestet. Mein nicht "gefritzter" Speedport antwotet beim Nmap-Scan "443/tcp filtered https". Der Port scheint also nicht offen von außen.
    Zur Sicherhet schalte ich den Router jetzt aber kurzfristig ab .. etwas mißtrauisch gegenüber dem soeben benutzten Service-Anbieter -- um eine neue dynamische
    IP-Adresse zu erhalten nach dem Wiederanschalten.

    Zitat von zuhause

    Mein nicht "gefritzter" Speedport antwotet beim Nmap-Scan "443/tcp filtered https". Der Port scheint also nicht offen von außen.


    Versteh ich nicht. Wenn nmap antwortet, ist der Port doch offen?!


    EDIT: Wobei, bei mir steht das gleiche.

    - Client1: Thermaltake DH 102 mit 7" TouchTFT * Debian Stretch/vdr-2.4.0/graphtft/MainMenuHooks-Patch * Zotac H55-ITX WiFi * Core i3 540 * 4GB RAM ** Zotac GT630 * 1 TB System HDD * 4 GB RAM * Harmony 900 * satip-Plugin

    - Client2: Alfawise H96 Pro Plus * KODI
    - Server: Intel Pentium G3220 * DH87RL * 16GB RAM * 4x4TB 3.5" WD RED + 1x500GB 2.5" * satip-Plugin
    - SAT>IP: Inverto iLNB

    Sonst benutzt heise.de:
    http://www.heise.de/security/d…n/test/go.shtml?scanart=1


    Wenn grün, dann zu, wenn rot, dann offen.


    Lars.

    Den Heise-Test habe ich durchgeführt; danach ist Port 443 bei meinem nicht "gefritzten" Speedport Router W 722V im grünen Bereich:Der Port ist "gefilter", also zwar offen aber irgendwie doch nicht offen bzw.sicher vor zum Beispiel "Netcat". Trotz der Aussage des Heise-Tests habe ich die Befürchtung, dass der "Hack" zum Port 443 einer Fritzbox auch bei einem Speedport W722V alias Fritz!Box Wlan 7170 die Verwaltung des Routers korrumpieren kann ohne eine Änderung der Firmware durch die Telekom, wie sie AVM jetzt für die "echten" Fritzboxes vornimmt.
    Ist meine Befürchtung übertrieben?


    Dank im Voraus

    Zitat von zuhause

    Speedport W722V alias Fritz!Box Wlan 7170

    Du hast keine FB7170, der W722 teilt sich nur einen Teil der HW Basis der 7170. Die Software hat nichts mit der von AVM gemein. Ich hatte selbst die der Vergangenheit Speedports, W920V & W721V ...


    Zitat von zuhause

    Ist meine Befürchtung übertrieben?

    Ja, Du hast keine Fritz!Box sondern einen Speedport ...


    Regards
    fnu

    HowTo: APT pinning

    Zitat von zuhause

    Den Heise-Test habe ich durchgeführt; danach ist Port 443 bei meinem nicht "gefritzten" Speedport Router W 722V im grünen Bereich:


    Und damit ist alles ok.


    Zitat


    Der Port ist "gefilter", also zwar offen aber irgendwie doch nicht offen bzw.sicher vor zum Beispiel "Netcat".


    Unsinn, bitte die man-Page von nmap genau lesen!


    "gefiltert" bedeutet, daß der Scanner keinerkei Antwort an diesem Port erhalten hat.
    Bei einer Firewall, die den Port blockt (und nicht antwortet), ist dies völlig normal.


    So kann ein Angreifer nicht einmal erkennen, ob der Zielrechner überhaupt existiert...


    CU
    Oliver

    Chapter 15 Nmap Reference Guide: "...Filtered means that a firewall,filter or other network obstacle is blocking the port ..." Also kann es so sein, dass von bestimmten (privilegierten) IP-Adressen aus, die eben nicht vom Verbot der Firewall erfasst sind, ein Zugang zum Router möglich ist.


    Liege ich da richtig?

    Zitat von UFO


    Bei einer Firewall, die den Port blockt (und nicht antwortet), ist dies völlig normal.


    So kann ein Angreifer nicht einmal erkennen, ob der Zielrechner überhaupt existiert...


    Das stimmt so nicht. "Gar keine Antwort" ist ein gutes Zeichen dafür, dass eben doch etwas existiert, das sich tot stellt. Technisch schöner wäre, wenn die Fritzbox ordnungsgemäß mit Fehler antworten würde.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden