image

Fritzbox-modem kan informatie over interne netwerk lekken

donderdag 6 juli 2017, 15:22 door Redactie, 15 reacties
Laatst bijgewerkt: 07-07-2017, 16:46

Een lek in de Fritzbox-modems van fabrikant AVM maakt het voor websites mogelijk om allerlei informatie te achterhalen, zoals interne ip-adressen, mac-adressen, hostnamen van aangesloten systemen en het unieke id van de Fritzbox. Informatie die voor verdere aanvallen gebruikt zou kunnen worden.

Door middel van JavaScript en een techniek genaamd dns rebinding kan een website met de configuratie-interface van de Fritzbox communiceren en zo de informatie achterhalen. Het probleem werd door onderzoeker Birk Blechschmidt ontdekt, die AVM op 17 maart informeerde. Na het eerste contact bleef het echter stil, zo laat de onderzoeker tegenover het magazine Heise online weten. Daarop besloot hij informatie over de kwetsbaarheid online te zetten. Inmiddels heeft de onderzoeker die weer offline gehaald.

AVM verklaart tegenover Heise dat het om een bekend probleem gaat dat met een toekomstige update wordt verholpen. Volgens de fabrikant is de impact van de kwetsbaarheid klein. Welke modellen allemaal kwetsbaar zijn liet AVM niet weten. Heise testte het beveiligingslek op een Fritzbox 7590 met de meest recente firmware. Gebruikers die zich in afwachting van een update willen beschermen krijgen het advies om de ondersteuning van ipv6 uit te schakelen. De aanval maakt onder andere gebruik van het feit dat de configuratie-interface aan het ipv6-adres van de Fritzbox is gekoppeld.

Update

XS4ALL, dat klanten Fritzbox-modems aanbiedt, laat in een reactie weten: "Hoewel deze zwakke plek al onze Fritzbox modems treft, is het daadwerkelijke risico voor XS4ALL-klanten zeer klein gezien de complexiteit van de aanval die nodig is om informatie uit de modems te lezen, en de relatief onschuldige aard van de gegevens die uit de modems kunnen worden gelezen." De provider zegt dat het lek niet actief wordt aangevallen en de situatie in de gaten wordt gehouden. Zodra de update van AVM beschikbaar is zal XS4ALL die onder klanten uitrollen.

Reacties (15)
06-07-2017, 15:28 door Anoniem
Klik!
https://www.security.nl/posting/493988/Fritz!box+tick+%27n+klick

Nog steeds elke dag raak , hard en hoorbaar aan het einde van de middag.
(mag het alleen daar niet meer melden, wordt onder nb mijn eigen topic niet geplaatst)
06-07-2017, 15:36 door Anoniem
Erg bedankt voor de info redactie!

Fritz!box gebruikers kunnen IPv6 op deze manier uitzetten:

1. Log in via je webinterface
2. Schakel Advanced View in (je kan dit doen rechtsboven in de hoek)
3. Ga naar linker kant: “internet”
4. Ga naar “Account Information"
5. Zoek tabblad IPv6 op
6. Schakel daar het vinkje uit
7. Klik op de knop “Apply” onderaan.
8. Klaar.
06-07-2017, 15:46 door Anoniem
Vroeger had ik het idee dat Fritzbox veilige routers waren, maar dat is inmiddels wel veranderd. Vraag me af waarom XS4All als respectabele provider nog steeds die rommel levert...
06-07-2017, 15:50 door Anoniem
Top redactie! Vandaag op Heise gepost, nu dus bij jullie ook.
Heb de modem meteen geconfigureerd en ipv6 uitgeschakeld.
06-07-2017, 16:19 door Anoniem
Door Anoniem: Klik!
https://www.security.nl/posting/493988/Fritz!box+tick+%27n+klick

Nog steeds elke dag raak , hard en hoorbaar aan het einde van de middag.
(mag het alleen daar niet meer melden, wordt onder nb mijn eigen topic niet geplaatst)
Je mag alles melden hier, maar de melding die je doet is dermate vaag gesteld dat weinig mensen er wat aan hebben.
06-07-2017, 16:42 door Anoniem
Had hier een tijdje terug inderdaad een laptop die om onbegrijpelijke reden steeds plat ging.
Nadat een extra filter op alle inbound connecties was geactiveerd en ipv6 werd geblokkeerd was het over met het gedonder.
Andere werkstations die dat al zo waren geconfigureerd hadden nergens last van.
Nu de tick er nog af. Misschien maar een ander modem om te kijken of het geen firmware besmetting is.
06-07-2017, 16:53 door Anoniem
Door Anoniem: Klik!
https://www.security.nl/posting/493988/Fritz!box+tick+%27n+klick

Nog steeds elke dag raak , hard en hoorbaar aan het einde van de middag.
(mag het alleen daar niet meer melden, wordt onder nb mijn eigen topic niet geplaatst)

Misschien omdat het niets meer toevoegt?

Door Anoniem: Vroeger had ik het idee dat Fritzbox veilige routers waren, maar dat is inmiddels wel veranderd. Vraag me af waarom XS4All als respectabele provider nog steeds die rommel levert...
Het zijn nog steeds goede routers. Als een leverancier een keer niet snel reageert, wil niet zeggen dat de leverancier in eens slecht is. Er zijn zat mogelijkheden te bedenken hiervoor.

Door Anoniem:Nu de tick er nog af. Misschien maar een ander modem om te kijken of het geen firmware besmetting is.
Zeer onwaarschijnlijk dat je een besmette firmware hebt.
06-07-2017, 17:23 door Anoniem
Door Anoniem: Vroeger had ik het idee dat Fritzbox veilige routers waren, maar dat is inmiddels wel veranderd. Vraag me af waarom XS4All als respectabele provider nog steeds die rommel levert...
AVM kan je gewoon een vraag stellen en soms krijg je zelfs als antwoord dat ze het voor je regelen. Genoeg fly-by-night fabrikanten die het een stuk minder doen. Dus ze zijn nog steeds een van de betere. Zeker als je én een ingebouwde FXS én customised firmware (freetz) wil heb je niet zo gek veel andere keuze, zelfs.
06-07-2017, 19:45 door Anoniem
Door Anoniem:
Door Anoniem: Vroeger had ik het idee dat Fritzbox veilige routers waren, maar dat is inmiddels wel veranderd. Vraag me af waarom XS4All als respectabele provider nog steeds die rommel levert...
AVM kan je gewoon een vraag stellen en soms krijg je zelfs als antwoord dat ze het voor je regelen. Genoeg fly-by-night fabrikanten die het een stuk minder doen. Dus ze zijn nog steeds een van de betere. Zeker als je én een ingebouwde FXS én customised firmware (freetz) wil heb je niet zo gek veel andere keuze, zelfs.
Het lijkt erop dat die routers best veilig zijn.
Ze worden in ieder geval ontzien
https://www.security.nl/posting/520769/Linksys+waarschuwt+voor+CIA-tool+die+routers+infecteert

Door Anoniem 16:53: Misschien omdat het niets meer toevoegt?.
Kijk ff naar de 'toegevoegde waarde' van je eige reacties. dat kan stukken beter.
07-07-2017, 00:16 door Anoniem
Daarom draai ik mijn eigen dhcpd server op mijn router etc. en log o.a. ook martians packets.
Stukje uit de door mijzelf ingeklopte opgebouwde geobfusceerde code


[333|332|320|321|322|319|atexit|317|318|323|324|329|330|331|328|327|325|326|347|348|372|373|374|371|370|367||368|369|375|376|381|382|383|380|379|377|378|366|365|353|354|355|352|351|349|350|356|357|362|363|364|361|360|358|359|316|315|266|267|268|265|264|261|262|263|269|270|275|276|277|274|273|271|272|260|259|del_option_mask|239|242|238|237|add_option_mask|236|243|246|253|257|258|252|251|247|248|278|279|303|304|305|302|301|298|299|306|307|312|313|314|311|310|308|309|297|296|284|285|286|283|282|280|281|287|288|293|294|295|292|291|289||290|680|681|1042|write_lease|1043|1041|1040|1037|1038|1039|1044|1045|1050|1051|1052|1049|1048|1046|1047|1036|1827|1020|1021|1022|1019|1018|1017|requestmask|1023|1025|1030|1033|1034|1029|1028|1026|1027|1053|1054|1072|1073|1074|1071|1070|1067|1068|1069|1075|1076|1081|1082|1083|1080|1079|1077|1078||1066|1065|1057|1058|1059|1056|unlink|is_bootp|1055|writing|1060|O_TRUNC|0600|1064||O_CREAT|O_WRONLY|1061|1062|1016|1015|963|964|965|||||962|961|958|959|960|966|967||||973|strchr|974|DHO_HOSTNAME|972|971|DHCPCD_HOSTNAME|957|956|945|946|947|DHO_USERCLASS|944|942|943|948|949|953|954|955|952|951|950|DHO_VENDORCLASSID|975|976|1006|1007|DHO_VENDOR|1005|1004|1002|1003|1008|vendor|DHO_PARAMETERREQUESTLIST|1013|1014|1012|1011|1009|1010|1001|999|981|982|FQDN_DISABLE|980|979|977|978|983|984|0x09|0x04|998|997|987|985|986|1084|1085|1177|1178|1179|1176|1175|1172|1173|1174|1180|1181|1186|1187|1188|1185|1184|1182|1183|1171|11
Ik voel me nu wat zekerder hierachter en heb veel geleerd van deze langzaam opgebouwde excercitie, a la serverfault com daar leert een mens wat van! Niet l*llen, maar poetsen, zeggen ze in Rotjeknor. Niet zeuren over onveilige infrastructuur, maar zelf aan de slag!

lauferek
07-07-2017, 00:42 door Anoniem
De kwetsbaarheid is dat de fritzbox op het private LAN van de gebruiker een foutje heeft in de bescherming van een statuspagina. Een gebruiker op het LAN kan te makkelijk de inhoud van die status bekijken. Vanaf het internet kom je daar niet bij, tenzij je een gebruiker op het LAN zo ver krijgt om gevaarlijke javascript uit te voeren en je dns rebinding service bij de gebruiker effectief is. De informatie die de aanvaller dan kan krijgen is een unieke herkenningscode van de fitzboz en een overzicht van aangesloten apparaten op het LAN. Geen informatie waar je direct malware kunt verspreiden, het netwerk kan verstoren of bij andere gegevens op de fritzbos of op de computers van de LAN gebruikers kan.

Iemand die een gebruiker op een LAN javascript laat uitvoeren en een effectieve dns rebinding service heeft heeft geen kwetsbare fritzbox nodig om aan interessantere informatie van het LAN te komen. Bijvoorbeeld via uPNP maar eigenlijk alle informatie waar javascript bij kan. Het probleem van de fritzbox is dus niet het echte probleem.

De oplossing:
gebruik een browser die beveiliging heeft tegen dns rebinding
voer geen javascript uit
laat alleen verkeer toe uit betrouwbare websites
schakel alle onnodige services uit op je LAN
laat geen apparaten op je LAN toe die niet aan bovenstaande regels voldoen anders kan de informatie via die weg lekken.
07-07-2017, 16:31 door Anoniem
Officiële reactie XS4All: https://blog.xs4all.nl/security-probleempje-in-onze-modems-geen-paniek/
We hebben contact met de leverancier van de modems om ervoor te zorgen dat er een update beschikbaar komt die dit probleem oplost. Zodra de update beschikbaar is, zorgen wij ervoor dat deze wordt geïnstalleerd op alle modems.
08-07-2017, 17:30 door Anoniem
Beste gebruikers, en beste redactie: ISP XS4ALL heeft op 7 juli een blogitem gewijd aan dit probleem.

De tekst is aldus:
Gisteren werd door verschillende media gepubliceerd over een securityprobleem in Fritzbox modems. Het gaat om een zwakke plek in de modems waardoor kwaadwillenden informatie over het interne netwerk kunnen bemachtigen: het interne IP-adres, MAC-adres en de naam van apparaten die verbonden zijn met de Fritzbox. Het is niet mogelijk om andere informatie uit te lezen of om instellingen te wijzigen.

Om de informatie te kunnen bemachtigen moet die kwaadwillende de Fritzbox-gebruiker naar een speciale website lokken, daar code uitvoeren en in de achtergrond een zogenaamde “DNS-Rebind” aanval uitvoeren. Hierna kunnen de gegevens uit de Fritzbox worden gelezen.

Hoewel deze zwakke plek al onze Fritzbox modems treft, is het daadwerkelijke risico voor XS4ALL-klanten zeer klein gezien de complexiteit van de aanval die nodig is om informatie uit de modems te lezen, en de relatief onschuldige aard van de gegevens die uit de modems kunnen worden gelezen.

Bovendien is de kwetsbaarheid ontdekt door een veiligheidsonderzoeker en wordt deze op dit moment niet actief door kwaadwillenden misbruikt. Dit is een vervelend probleem, maar geen groot security risico. Wij blijven de situatie wel in de gaten houden.

We hebben contact met de leverancier van de modems om ervoor te zorgen dat er een update beschikbaar komt die dit probleem oplost. Zodra de update beschikbaar is, zorgen wij ervoor dat deze wordt geïnstalleerd op alle modems.

Link: https://blog.xs4all.nl/security-probleempje-in-onze-modems-geen-paniek/
03-08-2017, 19:19 door Anoniem
Het lek is inmiddels gedicht met behulp van een patch.
04-08-2017, 12:25 door Anoniem
Het item in het blog van Xs4all is al een tijdje gesloten en geen mogelijkheid om via die manier te communiceren.

Er is geen specifieke melding in de change log van 7581 hierover en kennelijk communiceren beide partijen niet graag hierover.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.