1. Foren
  2. Kommentare
  3. PC-Hardware
  4. Alle Kommentare zum Artikel
  5. › AVM-Router: Exploit für Fritzbox…

wie ist das möglich

  1. Thema

Neues Thema Ansicht wechseln


  1. wie ist das möglich

    Autor: x2k 07.03.14 - 17:45

    Wie kann denn der aufruf einer webseite den router beeinflussen?? Ich dachte immer der leitet nur datenpackete zu den Client rechnern und filtert ggf packete aus. Wie funktioniert das

  2. Re: wie ist das möglich

    Autor: jayrworthington 07.03.14 - 18:09

    x2k schrieb:
    --------------------------------------------------------------------------------
    > Wie kann denn der aufruf einer webseite den router beeinflussen?? Ich
    > dachte immer der leitet nur datenpackete zu den Client rechnern und filtert
    > ggf packete aus. Wie funktioniert das

    Da gibts verschiedene moeglichkeiten. Simpelste, ich hab auf meinem $evil_web_sörvar, den du besuchst, einen javascript-aufruf ala http://192.168.1.1/autodestruct.php, den dein browser ausführt, und schon brennt dein router...

  3. Re: wie ist das möglich

    Autor: x2k 07.03.14 - 18:24

    jayrworthington schrieb:
    --------------------------------------------------------------------------------
    > x2k schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wie kann denn der aufruf einer webseite den router beeinflussen?? Ich
    > > dachte immer der leitet nur datenpackete zu den Client rechnern und
    > filtert
    > > ggf packete aus. Wie funktioniert das
    >
    > Da gibts verschiedene moeglichkeiten. Simpelste, ich hab auf meinem
    > $evil_web_sörvar, den du besuchst, einen javascript-aufruf ala 192.168.1.1
    > den dein browser ausführt, und schon brennt dein router...

    Also misbraucht man sozusagen einen computer im netzwerk für den angriff?

    Bedeutet das denn nicht auch das andere router genauso anfällig sind? Bzw das dieser angriff durch einen patch von z.b. firefox blockiert werden kann?

  4. Re: wie ist das möglich

    Autor: crash 07.03.14 - 18:33

    Theoretisch sind alle Router mit Webinterface angreifbar, ja. Patchen vom Firefox hilft nix, weil die meisten Webseiten externe Inhalte nachladen. D.h. nux würde für dich mehr funtkionieren.

    Es gibt aber techniken die dem Brower mitteilen können ob Inhalte des Webinterfaces eingebunden werden dürfen, wie X-Frames-Options oder Content Security Policies. Beide werden aber nicht von allen Browsern unterstützt und gegen das Ausführen von Scripten auf dem Router helfen sie auch nicht immer etwas.

    D.h. Einzige Lösung ist die Absicherung des Routers von außen.

  5. Re: wie ist das möglich

    Autor: jonnybravo 07.03.14 - 18:47

    crash schrieb:
    --------------------------------------------------------------------------------
    > Theoretisch sind alle Router mit Webinterface angreifbar, ja. Patchen vom
    > Firefox hilft nix, weil die meisten Webseiten externe Inhalte nachladen.
    > D.h. nux würde für dich mehr funtkionieren.
    >
    > Es gibt aber techniken die dem Brower mitteilen können ob Inhalte des
    > Webinterfaces eingebunden werden dürfen, wie X-Frames-Options oder Content
    > Security Policies. Beide werden aber nicht von allen Browsern unterstützt
    > und gegen das Ausführen von Scripten auf dem Router helfen sie auch nicht
    > immer etwas.
    >
    > D.h. Einzige Lösung ist die Absicherung des Routers von außen.

    Das ist aber eine sehr vereinfachte Darstellung. Das abfischen der Zugangsdaten bei parallel offenen Fenstern und der direkte Zugriff OHNE Zugangsdaten ist schon ne andere Hausnummer. Wenn solche Lücken bestehen müsste jeglicher Traffic gefiltert werden ob er nicht den Exploit enthält oder auf die Nutzung des Routers zum surfen und Emails empfangen verzichtet werden. Und das ist für einige doch eine erhebliche Einschränkung.

  6. Re: wie ist das möglich

    Autor: crash 07.03.14 - 19:15

    Ja das kann letztlich nur Zusatz sein. Ist die Frage warum Browser überhaupt, ohne Nachzufragen, Daten aus dem lokalen Netzwerk laden dürfen. Wäre auch ziemlich einfach zu implementieren; http://fritz.box darf nur geladen werden, wenn der User zustimmt.

  7. Re: wie ist das möglich

    Autor: x2k 07.03.14 - 19:37

    Und was ist wenn die fritzbox nur dann überhaupt antwortet wenn man sich vorher einloggt und dann alle nötigen daten von einer zuälligen ip erreichbar macht, diese aber nach logout oder timeout abschaltet. So könnte keiner auf die Inhalte verlinken.

  8. Re: wie ist das möglich

    Autor: crash 07.03.14 - 21:34

    das sollte der Normalzustand sein, und genau darin liegt die Lücke.

  9. Re: wie ist das möglich

    Autor: jayrworthington 07.03.14 - 23:35

    x2k schrieb:
    --------------------------------------------------------------------------------
    > > Da gibts verschiedene moeglichkeiten. Simpelste, ich hab auf meinem
    > > $evil_web_sörvar, den du besuchst, einen javascript-aufruf ala
    > > 192.168.1.1 den dein browser ausführt, und schon brennt dein router...
    >
    > Also misbraucht man sozusagen einen computer im netzwerk für den angriff?

    Ja. Konkret geht es hier bei dem Fritzen aber darum, dass das admin-interface standardmaessig aus dem internet erreichbar ist -> Daemlich++, bei einem Router hat NICHTS, aber auch GAR NICHTS default offen zu sein von aussen (nein, ganz speziell UPNP nicht).

    > Bedeutet das denn nicht auch das andere router genauso anfällig sind? Bzw

    Richtig, Für solche Angriffe ist jedes Gerät anfällig, das ein (für den Browser) erreichbares web-interface hat; einfacher macht es natuerlich, das DoofRouter™ praktisch alle auf 192.168.1.1 sind default, und alle standard-credentials haben. Es müsste ein wechsel der credentials erzwungen werden, und es sollte nach dem ersten login automatisch ein neues Netz konfiguriert werden...

    > das dieser angriff durch einen patch von z.b. firefox blockiert werden
    > kann?

    Nicht wirklich, denn Firefox kennt keinen technischen unterschied zwischen Admin-Gui und Facebook, es sind websites. "Richtige" Firewalls wie pfsense überprüft aber standardmässig den HTTP_REFERER und kann nicht ganz so einfach kompromitiert werden, gegen PEBKAC ist allerdings kein kraut gewachsen, wenn der User beim besuch von $pornosite_4711 nach dem Admin-Password seines Router gefragt wird, und das eingibt, ist es halt passiert...

  10. Re: wie ist das möglich

    Autor: xyzer 08.03.14 - 12:24

    jayrworthington schrieb:
    --------------------------------------------------------------------------------
    > Ja. Konkret geht es hier bei dem Fritzen aber darum, dass das
    > admin-interface standardmaessig aus dem internet erreichbar ist ->
    > Daemlich++, bei einem Router hat NICHTS, aber auch GAR NICHTS default offen
    > zu sein von aussen (nein, ganz speziell UPNP nicht).
    Richtig, das Webinterface ist aber standardmäßig von außen NICHT ereichbar. Das muß man schon selber einschalten.

  11. Re: wie ist das möglich

    Autor: 0xDEADC0DE 09.03.14 - 11:04

    jayrworthington schrieb:
    --------------------------------------------------------------------------------
    > Richtig, Für solche Angriffe ist jedes Gerät anfällig, das ein (für den
    > Browser) erreichbares web-interface hat; einfacher macht es natuerlich, das
    > DoofRouter™ praktisch alle auf 192.168.1.1 sind default, und alle
    > standard-credentials haben. Es müsste ein wechsel der credentials erzwungen
    > werden, und es sollte nach dem ersten login automatisch ein neues Netz
    > konfiguriert werden...

    Erstens sollten solche Daten geschützt sein, also ohne vorherigem Login gar nicht auslesbar sein, genau das war aber bei der mittlerweile gestopften Sicherheitslücke der Fall. Zweitens fordern aktuelle Geräte den Benutzer auf, ein Passwort zu setzen, was in dem Fall aber herzlich wenig bringt, wenn die Daten am Login vorbeigeschleust werden. Zweitens ist 192.168.1.1 bei Fritz!Boxen noch nie die Standard-IP gewesen und diese zu ändern bringt gar nichts, da man auf die Box auch mit fritz.box kommt. Das ist ein Komfortfeature, das man IMHO auch nicht abschalten kann. Und selbst wenn, ein Skript das im lokalen Netz läuft, kommt sicher auch auf die lokale IP-Adresse des Standardgateways.

    > > das dieser angriff durch einen patch von z.b. firefox blockiert werden
    > > kann?
    >
    > Nicht wirklich, denn Firefox kennt keinen technischen unterschied zwischen
    > Admin-Gui und Facebook, es sind websites. "Richtige" Firewalls wie pfsense
    > überprüft aber standardmässig den HTTP_REFERER und kann nicht ganz so
    > einfach kompromitiert werden, gegen PEBKAC ist allerdings kein kraut
    > gewachsen, wenn der User beim besuch von $pornosite_4711 nach dem
    > Admin-Password seines Router gefragt wird, und das eingibt, ist es halt
    > passiert...

  12. Re: wie ist das möglich

    Autor: ck2k 10.03.14 - 02:35

    0xDEADC0DE schrieb:
    --------------------------------------------------------------------------------
    > [...] da man auf die Box auch mit fritz.box kommt. Das ist ein
    > Komfortfeature, das man IMHO auch nicht abschalten kann.

    Falls dich das Feature stört - einfach einen anderen DNS Server als die Box einstellen :)
    /OffTopic

  13. Re: wie ist das möglich

    Autor: 0xDEADC0DE 10.03.14 - 11:29

    ck2k schrieb:
    --------------------------------------------------------------------------------
    > Falls dich das Feature stört - einfach einen anderen DNS Server als die Box
    > einstellen :)
    > /OffTopic

    Das müsste man aber bei allen Clients machen, DHCP kann dann aber nicht verwendet werden. Äußerst unpraktisch, trotzdem danke.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Anwendungsbetreuer (m/w/d) ERP System
    SAUTER Deutschland Sauter-Cumulus GmbH, Freiburg im Breisgau
  2. (Junior) IT-Anforderungsmanager (m/w/x) Warenwirtschaftssysteme / Filialhandel - International
    ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr
  3. IT-Service Generalist (m/w/d)
    ZIEHL-ABEGG SE, Künzelsau
  4. IT-Systemadministrator (m/w/d) für Projekte und Infrastruktur
    Erzbischöfliches Ordinariat Bamberg, Bamberg

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. 2x Samsung GU75AU7179 (2021) 75 Zoll für 1.399€, 2x LG XBoom ON5 Party-Lautsprecher für...
  2. (aktuell u. a. Lenovo & Razer)
  3. 95€ (Bestpreis mit Amazon)
  4. (u. a. Kingston Fury Renegade 16GB Kit DDR4-3200MHz für 81,90€, Corsair Vengeance LPX 16GB Kit...


Haben wir etwas übersehen?

E-Mail an news@golem.de