image

Mogelijk wachtwoorden gestolen via modems XS4ALL-klanten

zaterdag 8 februari 2014, 06:30 door Redactie, 14 reacties

Bij de aanval op de modems van XS4ALL-klanten zijn mogelijk ook wachtwoorden gestolen, zo laat de fabrikant van de apparatuur weten. Deze week waarschuwden zowel de Nederlandse provider als de Duitse fabrikant AVM voor aanvallen waarbij de modems van klanten waren gebruikt voor telefoonfraude.

Het probleem deed zich alleen voor bij klanten die de Remote Access-functie van hun FRITZ!Box modem zelf hebben geactiveerd. Daardoor is het modem vanaf het internet bereikbaar. AVM zegt dat het de aanvalspatronen van de daders heeft geïdentificeerd en dat de onderzoeksresultaten met opsporingsinstanties zijn gedeeld.

Uit het onderzoek blijkt dat de daders via poort 443 een aanval hebben uitgevoerd en zo in de FRITZ!Box zijn binnengedrongen. Aangezien naast de toegangsgegevens wellicht meerdere wachtwoorden zijn buitgemaakt, adviseert AVM gebruikers dringend alle wachtwoorden en toegangsdata van hun FRITZ!Box te vernieuwen.

Firmware

De eerder gepubliceerde aanbeveling om poort 443, voor toegang tot de FRITZ!Box via HTTPS, af te sluiten blijft vooralsnog van kracht en voorkomt deze aanvallen. AVM zal vanaf dit weekend nieuwe firmware-versies voor alle FRITZ!Box-modellen beschikbaar stellen. Na de update zijn de 'toegang op afstand' en MyFRITZ-dienst weer onbeperkt beschikbaar.

Reacties (14)
08-02-2014, 09:55 door [Account Verwijderd] - Bijgewerkt: 08-02-2014, 12:20
[Verwijderd]
08-02-2014, 12:12 door Anoniem
De opdates kwam in de nacht van 7 op 8 februari online rond één uur voor de 7340, 7360 en7390 terwijl de Duitse versie voor 7390 de middag daarvoor als te laden was.

De update bevat alleen de security fix voor poort 443 en de resterende regels zaten al vorige firmware versie.

AVM heeft hier echt hard aan getrokken om de updates beschikbaar te maken voor gebruikers van de Fritzboxen om nog meer schade te beperken.
08-02-2014, 13:29 door Anoniem
Door Anoniem: De opdates kwam in de nacht van 7 op 8 februari online rond één uur voor de 7340, 7360 en7390 terwijl de Duitse versie voor 7390 de middag daarvoor als te laden was.

De update bevat alleen de security fix voor poort 443 en de resterende regels zaten al vorige firmware versie.

AVM heeft hier echt hard aan getrokken om de updates beschikbaar te maken voor gebruikers van de Fritzboxen om nog meer schade te beperken.
Dat was mij ook al opgevallen. Ondanks de update blijft het aan te raden :443 gewoon dicht te laten, tenzij je echt niet anders kan.
08-02-2014, 13:32 door Anoniem
Eerder waren deze FritzBoxen geweldige devices door hun kwaliteit / veelzijdigheid. De 7170 had als modem bijvoorbeeld nog wel voldoende configuratieopties in de webui, een geïntegreerde ISDN bus en een stabiele firmware wat draaide op hardware welke niet kapot te krijgen was.

Maar dit begint toch steeds meer tegen te vallen, met name de introductie van steeds meer 'speelgoed features' en het steeds verder uitkleden van de configuratie mogelijkheden. Door steeds vaker nieuwe en meer rigoureuzere firmware uit te brengen (met nog meer speelgoed) moet men steeds meer de configuratie overnieuw maken, wil men zeker weten dat deze 100% compatibel is. .Ook het updaten vanuit de webui is wel vaker misgegaan, waarna men de box op de klassieke en omslachtige manier moest flashen.

Ook het remote beheren door onder andere provider en fabrikant lijkt mij niet zo'n fris idee, aangezien het vinkje in de webinterface uitzetten in werkelijkheid niets doet met deze functionaliteit. Alles van *.avm.de naar dit modem toelaten is natuurlijk ook niet echt slim aangezien je met DNS spoofing of direct via AVM toegang tot miljoenen modems kan krijgen. En hebben ze ook een fix gemaakt voor TCP poort 8089? Wie zich vermaken moet deze configuratie maar eens helemaal doornemen en dan wordt niet bedoeld de vinkjes in de webinterface...

En wat AVM zelf als verklaring geeft; lijkt of ze de indruk willen wekken dat het voor veel klanten hun eigen schuld is door remote access aan te hebben staan, maar logischer zou zijn dat hun dienst gehackt is waardoor men met de bemachtigde passwords voor MyFritz, remote access heeft kunnen aanzetten om zo volledige controle over de box te krijgen cq houden.
Waarom zouden klanten risico lopen als deze alleen remote access aan hebben staan en geen MyFritz gebruikten; dan kan men alleen toegang krijgen als men het lokaal in de fritzbox opgelslagen password weet, tenzij er dus een manier is om zonder juiste credentials volledige toegang tot de box te krijgen. In dat geval een zeer kwalijke zaak van AVM.

En als MyFritz succcesvol gehacked is; zijn de nieuwe firmware downloads dan wel te vertrouwen?
08-02-2014, 16:03 door Anoniem
Door Anoniem: Ook het remote beheren door onder andere provider en fabrikant lijkt mij niet zo'n fris idee, aangezien het vinkje in de webinterface uitzetten in werkelijkheid niets doet met deze functionaliteit. Alles van *.avm.de naar dit modem toelaten is natuurlijk ook niet echt slim aangezien je met DNS spoofing of direct via AVM toegang tot miljoenen modems kan krijgen. En hebben ze ook een fix gemaakt voor TCP poort 8089?
Bron?

Door Anoniem: Logischer zou zijn dat hun dienst gehackt is waardoor men met de bemachtigde passwords voor MyFritz, remote access heeft kunnen aanzetten om zo volledige controle over de box te krijgen cq houden.
Helemaal duidelijk zijn ze niet, maar uit https://www.avm.de/en/press/announcements/2014/2014_02_07.php3 haal ik dat het waarschijnlijk om een exploit gaat die het wachtwoord omzeild. ("Criminal attacks on port 443" en "AVM will make software updates available to prevent further attacks following this pattern")
08-02-2014, 16:50 door Anoniem
Als MyFritz gehackt zou zijn dan is er natuurlijk geen reden voor een update van de firmware van Fritzboxen. Hetzelfde gaat op indien op een andere wijze de inloggegevens bemachtigd zouden zijn. De conclusie is simpel: er was/is een manier om via poort 443 als die open staat zonder de door de gebruikers ingestelde inlogwaarden in de betreffende fritzboxen te komen.

Het is een backdoor. Mogelijk voor Providers en AVM zelf, of nog anderen. Wie dat kunnen zijn mag iedereen zelf bedenken. Als er niet een duidelijkere verklaring komt dan kan AVM op de hoop van definitief onbetrouwbare fabrikanten.
08-02-2014, 18:55 door Anoniem
Door Anoniem:
Door Anoniem: Ook het remote beheren door onder andere provider en fabrikant lijkt mij niet zo'n fris idee, aangezien het vinkje in de webinterface uitzetten in werkelijkheid niets doet met deze functionaliteit. Alles van *.avm.de naar dit modem toelaten is natuurlijk ook niet echt slim aangezien je met DNS spoofing of direct via AVM toegang tot miljoenen modems kan krijgen. En hebben ze ook een fix gemaakt voor TCP poort 8089?
Bron?

Bron: ar7.cfg uit een FritzBox; poort 8089 is permit omwille van TR-069/CPE WAN Management Protocol.

"It defines an application layer protocol for remote management of end-user devices" en "The CWMP protocol also defines a mechanism for reaching the devices that are connected behind NAT"

Bron: http://en.wikipedia.org/wiki/TR-069

Eigenlijk had ik gehoopt dat iemand met een andere mogelijke oorzaak kwam... We wijzen wel met de vinger naar de Amerikanen en Chinezen, maar uit Duitse hoek (volk wat privacy zeer belangrijk vind) zou je dit niet verwachten...

Aan de andere kant; als dit een backdoor zou zijn, en hij werkt alleen als remote access aan staat (wat standaard uitgeschakeld staat), hoe effectief is deze dan...?

AVM lijkt wel mysterieus te doen omdat ze hun enorme blunder niet willen toegeven of er iets anders is wat niemand mag weten. Betrouwbare indruk laten ze er in ieder geval niet mee achter.

Je vraagt je af welk product tegenwoordig niet zo lek is als een zeef en of er ooit een besef komt dat cloud-data-harvesting en achterdeurtjes niet de manier zijn om de wereld beter te maken en het vertrouwen van de consument te winnen (deze is toch te stom om dit te snappen).
08-02-2014, 19:09 door [Account Verwijderd] - Bijgewerkt: 08-02-2014, 21:55
[Verwijderd]
08-02-2014, 20:45 door Anoniem
"Aan de andere kant; als dit een backdoor zou zijn, en hij werkt alleen als remote access aan staat (wat standaard uitgeschakeld staat), hoe effectief is deze dan...?"

We weten natuurlijk (nog) niet of deze eventuele backdoor allen werkt als remote acces aanstaat. Die gedachte licht wel voor de hand als je aanneemt dat het advies om dit uit te schakelen tot je de nieuwe firmware hebt geïnstalleerd ook werkt. ik heb echter nog geen berichten gelezen dat het probleem echt opgelost zou zijn door remote access uit te zetten. Of het tegendeel trouwens.

Dat bericht om remote access uit te zetten kan dus gewoon een zoethouder of een dwaalspoor zijn van AVM
08-02-2014, 21:33 door [Account Verwijderd] - Bijgewerkt: 09-02-2014, 05:55
[Verwijderd]
08-02-2014, 23:27 door Briolet
Door Anoniem:We weten natuurlijk (nog) niet of deze eventuele backdoor allen werkt als remote acces aanstaat.

Dan zouden het wel heel vreemde hackers zijn. Stel dat die backdoor altijd werkt. Men komt in de router binnen en kijkt of de remote access aanstaat. Vervolgens gaan ze alleen via die paar routers telefoonfraude plegen waar de remote access aan staat. Dat kan inderdaad, maar is dat waarschijnlijk?
09-02-2014, 01:02 door Anoniem
Door Briolet:
Door Anoniem:We weten natuurlijk (nog) niet of deze eventuele backdoor allen werkt als remote acces aanstaat.

Dan zouden het wel heel vreemde hackers zijn. Stel dat die backdoor altijd werkt. Men komt in de router binnen en kijkt of de remote access aanstaat. Vervolgens gaan ze alleen via die paar routers telefoonfraude plegen waar de remote access aan staat. Dat kan inderdaad, maar is dat waarschijnlijk?

Het gaat hier om een exploit van remote access (https op port 443), zolang die functie uit staat is er geen risico. Verder is het scannen simpel, je weer welke providers grootschalig AVM modems gebruiken, dus die ip ranges kan je scannen op port 443, en fingerprinten om daar mee de fritzboxen te identificeren. Vervolgens laat je een script al die adressen afgaan en de de exploit uitvoeren. Tadaa, honderden modems die open staan voor VoIP misbruik.
09-02-2014, 05:54 door [Account Verwijderd] - Bijgewerkt: 09-02-2014, 05:54
[Verwijderd]
09-02-2014, 10:23 door Briolet
Door Anoniem: Verder is het scannen simpel, je weer welke providers grootschalig AVM modems gebruiken, ...

Dat scannen in niet nodig omdat Shodan dat al voor je gedaan heeft. Als je bij hun op "Fritz" zoekt vind je:

IP:..... Deutsche Telekom AG
User-Agent: AVM FRITZ!Box Fon WLAN 7112 (UI) 87.04.87 TAL (Jun 7 2011)

Vooral Duitse FritzBoxen, maar je kunt de selectie ook tot Nederland beperken, of nog verder specificeren
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.