Thema: Angreifbare NAS´s, Router, Modems & Accesspoints ...

[SiLæncer]

Die Netzwerk-Gerätehersteller Cisco, Netgear und Linksys bestätigen mittlerweile die Existenz der mysteriösen Backdoor in diversen Geräten. Über diese Hintertür können Angreifer alle Konfigurationsdaten auslesen und auch manipulieren; bei einem Test im Internet fand heise Security Passwörter für den Admin-Zugang der Router, das WLAN, den DSL-Zugang, Proxy-Server und für DynDNS-Dienste. Sogar Passwörter und Zertifikate für VPNs fanden sich auf einigen Geräten.

Cisco will nun bis Ende Januar Updates liefern, die beiden anderen nennen keine Termin für Abhilfe.

In einem Security Advisory bestätigt Cisco das Vorhandensein eines "undokumentierten Test Interface" in einigen Geräten der Small Business Kategorie. Bis Ende Januar will man kostenlose Updates bereitstellen, um das Problem zu beheben, das in der höchstmöglichen Gefahrenstufe (CVSS Score 10.0) einsortiert wurde. Einen Workaround nennt Cisco nicht – wie sich die betroffenen Kunden bis dahin schützen sollen, bleibt somit ihr eigenes Problem. Konkret betroffen sind laut Cisco folgende Modelle:

    Cisco RVS4000 4-port Gigabit Security Router bis Firmware 2.0.3.2
    Cisco WRVS4400N Wireless-N Gigabit Security Router 1.0, 1.1 bis Firmware 1.1.13
    Cisco WRVS4400N Wireless-N Gigabit Security Router 2.0 bis Firmware 2.0.2.1
    Cisco WAP4410N Wireless-N Access Point bis 2.0.6.1

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Im Netz sind IP-Adressen für zehntausende verwundbare Asus-Router aufgetaucht. Unter dem Titel "#ASUSGATE" veröffentlichten Unbekannte zudem Listen mit privaten Dateien auf angeschlossenen USB-Geräten.

Eine Gruppe Unbekannter hat mehr als 12.000 IP-Adressen von angreifbaren Asus-Routern veröffentlicht. In den Geräten klaffen Sicherheitslücken, die es Angreifern aus dem Internet erlauben, die Router komplett unter ihre Kontrolle zu bringen. Angreifer erhalten so auch Zugriff auf persönliche Dateien auf am Router angeschlossenen USB-Geräten. In Anlehnung an den Watergate-Skandal nennen die Unbekannten ihre Veröffentlichung "#ASUSGATE". Heise Security hat bei Stichproben festgestellt, dass die veröffentlichten Daten tatsächlich echt sind. Unter den IP-Adressen fanden sich offene FTP-Server mit Asus-Kennung und teilweise sensiblen Daten wie etwa Komplett-Backups von Windows-PCs.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Nach ersten Fällen von Telefonie-Missbrauch halten Angriffe auf Fritzboxen über die Fernkonfiguration an. Um Schäden vorzubeugen, sollen Fritzbox-Nutzer die Funktion vorübergehend deaktivieren.

Vor ein paar Tagen wurden vereinzelte Fälle von Missbrauch der Telefonie-Funktion von Fritzboxen bekannt. Die Angriffe erfolgten über die per Browser mit HTTPS mögliche Fernkonfiguration mit bekannten Zugangsdaten. Laut AVM halten die Attacken seitdem auf niedrigem Niveau an.

AVM untersucht noch, woher die dafür verwendeten gültigen Zugangsdaten stammen. Um weiteren Schäden vorzubeugen, empfiehlt der Fritzbox-Hersteller allen Nutzern, die die Fernkonfiguration verwenden, diese Funktion vorübergehend abzuschalten und die Zugangsdaten zu ändern. Das Gleiche gilt für den myfritz-Dienst.

Ferner soll man andere in der Fritzbox hinterlegte Zugangsdaten, etwa für den Push-Mail-Dienst für automatische Statusmeldungen, überprüfen und gegebenenfalls ändern. Weitere Hinweise will AVM in den nächsten Stunden auf seinen Sicherheitsseiten veröffentlichen.

Siehe dazu auch:

    Telefonie-Missbrauch anscheinend kein Massenhack von AVMs Fritzboxen

Quelle : www.heise.de

[SiLæncer]

AVM hat den für Telefoniemissbrauch benutzten Angriffsweg nachvollzogen und bereitet Firmware-Updates für Fritzboxen vor, die am Wochenende erscheinen sollen.

Bei der Analyse der Telefonie-Missbräuche über die Fritzbox-Fernkonfiguration hat der Hersteller AVM herausgefunden, dass anders als zunächst vermutet doch keine auf anderen Wegen beschafften Zugangsdaten verwendet wurden. Offenbar haben die Angreifer einen Weg gefunden, die Authentifizierung beim Fernzugriff per Browser zu umgehen.

Als Gegenmaßnahme bereitet AVM derzeit Firmware-Updates für alle aktuellen Fritzboxen vor. Die Updates sollen gestaffelt in den nächsten Tagen erscheinen. Wann ein Update für welchen Gerätetyp zur Verfügung steht, will AVM auf seiner Sicherheitsseite fortlaufend ankündigen.

Update unbedingt einspielen

Alle Fritzbox-Nutzer sollten das Update einspielen. Bis das geschehen ist, bleibt es bei der Empfehlung, den Fernzugang abgeschaltet zu lassen. Ferner sollten Sie sicherheitshalber nicht nur das Konfigurationspasswort, sondern auch andere in der Box hinterlegte Zugangsdaten ändern, etwa solche für Push-E-Mail-Statusmeldungen oder externe SIP-Zugänge.

Wer eine vom Provider bereitgestellte Fritzbox verwendet, beispielsweise das Modell 6360 von Kabel Deutschland oder den Homeserver von 1&1, muss mit dem Reaktivieren des Fernzugangs warten, bis der Provider ein Update bereitstellt beziehungsweise von sich aus per TR-069-Fernkonfiguration einspielt.

Quelle : www.heise.de

[SiLæncer]

Wer ne 7390 hat sollte mal das Update anwerfen

[SiLæncer]

AVM arbeitet mit Hochdruck daran, allen Kunden ein Software-Update zu liefern, das eine kürzlich bekannt gewordene Sicherheitslücke behebt.

Der deutsche Routerhersteller AVM arbeitet auch am heutigen Samstag daran, eine Sicherheitslücke zu schließen, die einen Zugriff aus dem Internet auf VoIP-Konten einer Fritzbox ermöglicht. In kurzen Abständen veröffentlichte das Unternehmen Firmware-Updates für verschiedene Modelle. Nachdem am gestrigen Freitag Abend noch Updates für die Fritzbox 7490 und 7390 erschienen waren, hat AVM im Laufe dieses Tages neue Firmware für die Modelle 7270v2/v3, 7240 und 3272 bereitgestellt. Ein Leser berichtete uns, es sei nach dem Update auf einer 7390 nicht mehr möglich gewesen, den IPv6-Tunneldienst SixXS einzurichten. Wir konnten dieses Problem bei einem eigenen Gerät allerdings nicht nachvollziehen.

Für die Typen 7360 und 7340 gibt es zwar schon ein Update für Geräte, die in der Schweiz und Österreich sowie in anderen Ländern verkauft werden, bislang nicht aber für die deutschen Modelle. AVM begründet das damit, dass diese Typen international deutlich stärker verbreitet sind als hierzulande. Das Unternehmen versucht, möglichst viele Kunden schnell mit Updates zu versorgen und arbeitet dabei eine Prioritätenliste ab.

Eine Liste, welche Modelle von der Sicherheitslücke betroffen sind, hat uns AVM bislang noch nicht zur Verfügung gestellt. Dem Vernehmen nach hat der Provider 1&1 damit begonnen, Updates für die eigenen Kunden per TR-069 auszuliefern, allerdings liegen uns noch keine Informationen darüber vor, welche Router-Modelle das betrifft. Für die Fritzboxen 6360, 6340 und 6320 Cable, die diverse Kabelprovider einsetzen, liegt bislang anscheinend noch kein Update vor.

Quelle : www.heise.de

[SiLæncer]

Die intensive Wochenendarbeit bei AVM trägt Früchte: Der Fritzbox-Hersteller hat inzwischen aktualisierte Firmware-Pakete auch für international genutzte Modelle zum Download bereitgestellt.

In der Entwicklungsabteilung bei AVM dürfte es dieses Wochenende wenig geruhsam zugegangen sein. Nachdem man den Angriffsweg auf den Fernwartungszugang der Fritzboxen nachvollziehen konnte, gab es gestern schon Firmware-Updates für die populärsten Modelle. Inzwischen hat AVM aktualisierte Firmware-Dateien für 19 national und 12 international eingesetzte Modelle fertig.

Für den heimischen Markt betrifft dies die Modelle 3272, 3370, 3390, 6810, 6840, 6842, 7240, 7270 (v2+v3), 7272, 7312, 7320, 7330 SL, 7330 SL, 7360 SL, 7360, 7362 SL, 7390 und 7490. Bei den internationalen Modellen sind dies:3270, 3272, 3370, 3390, 7270 (v2+v3), 7272, 7330, 7340, 7360, 7390 und 7490.

AVM rät allen Betroffenen, die neue Firmware umgehend einzuspielen. Aktualisierungen für die in Kabelnetzen eingesetzten Modelle 6320, 6340 und 6360 will AVM "schnellstmöglich" in Zusammenarbeit mit den dortigen Netzbetreibern zur Verfügung stellen.

Quelle : www.heise.de

[SiLæncer]

Nachdem AVM übers Wochenende Firmware-Updates für mehr als 30 Fritzbox-Modelle herausgebracht hat, sind fast alle Lücken gestopft. Einzelne Updates werden aber auch in den nächsten Tagen nachgereicht.

Die letzten drei Tage dürften einige Software-Entwickler Überstunden geschoben haben: Seit Freitagnachmittag erschienen Firmware-Updates für über 30 Router-Modelle. Selbst für alte Fritzboxen wie das Modell 7170 hat AVM inzwischen ausgebesserte Firmware bereitgestellt. Ob auch ein Update für die Fritzbox 7570, einen der ersten VDSL-Router, erscheint, ist noch in Klärung. Das Modell 3170 wird laut AVM indes kein Update bekommen, da dieser Router keine Telefoniefunktion hat.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Kabel Deutschland hat in der Nacht damit begonnen, Updates für die Fritzbox 6360 vorzunehmen, um eine Sicherheitslücke zu stopfen. Unity Media/Kabel BW und manche kleineren DSL-Provider sind noch nicht so weit.

AVM hat den Kabelnetzbetreibern Updates für die Kabel-Versionen der Fritzbox bereitgestellt, die eine kürzlich bekannt gewordene Sicherheitslücke stopfen. Die Kabelprovider haben die Updates ihren Kunden jedoch nicht sofort bereitgestellt, sondern zunächst intern getestet. Normalerweise dauert dieser Prozess einige Wochen, die drohenden Schäden sowohl für die Kunden als auch das eigene Image beschleunigen den Prozess aber offenbar deutlich. Stellt der Provider den Router bereit, können Kunden selbst kein Update vornehmen, sondern müssen warten, bis sie es erhalten.

In der vergangenen Nacht begann nun Kabel Deutschland als erster großer Kabel-Provider damit, das Update an seine Kunden zu verteilen. Im Laufe des Tages sollten die Kunden nach und nach damit versorgt werden. Unity Media Kabel BW ist hingegen noch nicht so weit. Auf Anfrage versicherte das Unternehmen, man werde die Aktualisierung schnellstmöglich zur Verfügung stellen, sobald abschließende Kompatibilitätstests erfolgreich abgeschlossen seien. Der Dringlichkeit des Updates sei man sich bewusst. Bis dahin rate man Kunden dazu, den Fernzugang auf den Fritzboxen zu deaktivieren.

Aber auch einige DSL-Provider überlassen dem Kunden nicht die Verantwortung, Updates zu installieren, sondern behalten in diesem Punkt die Kontrolle über den Router ihrer Kunden. Der Regionalanbieter EWE Tel beispielsweise will für seine Kunden noch in dieser Woche ein Update für die Fritzbox ausliefern, sobald die obligatorischen Kompatibilitätstests abgeschlossen sind. Die Fernkonfiguration, die zu einem Angriff auf die Box genutzt werden kann, sei im Lieferzustand ausgeschaltet, bislang habe man keine Schadensfälle verzeichnet.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt unterdessen Kunden und Providern in einer Pressemitteilung dringend, das aktuelle Update sofort einzuspielen. Nach einer Schätzung von AVM hat erst ein Fünftel der Anwender das Update vorgenommen. Damit wäre die Mehrzahl der Fritzboxen mit aktivierter Fernkonfiguration immer noch ein lohnendes Angriffsziel.

Quelle : www.heise.de

[SiLæncer]

Angreifer können eine Root-Shell auf dem Modemrouter D6300B von Netgear öffnen. Die sogenannte Geardog-Hintertür ist schon länger bekannt. Außerdem lassen sich über UPnP Ports öffnen und Dateien von angeschlossenen Festplatten kopieren.

In Netgears Modemrouter D6300B stecken eine Reihe von öffentlich bekannten, ungepatchten Sicherheitslücken. Betroffen ist die aktuelle Firmware 1.0.0.14 für den deutschen Markt. Aus dem lokalen Netz können Angreifer Schadcode auf dem Gerät ausführen, in dem sie ein speziell präpariertes Paket an den Telnet-Dienst des Routers senden. Außerdem sind die UPnP-Funktionen des Routers ungenügend abgesichert und erlauben Angreifern aus dem lokalen Netz den Zugriff auf am Gerät angeschlossene Festplatten. Auch kann man nach Belieben Ports in der Firewall öffnen.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Kaum scheinen die Sicherheitslücken bei der in Deutschland weit verbreiteten Fritzbox geschlossen, melden Sicherheitsforscher bei Konkurrenzprodukten von Linksys einen selbstreproduzierenden Schädling.

Das Internet Storm Center des SANS Institute warnt vor einer grassierenden Wurm-Epidemie unter WLAN-Routern von Linksys für Heimanwender und kleine Büros. Das ISC nennt die möglicherweise betroffenen Modelle E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000 und E900, schließt jedoch weitere nicht aus. Ob ein Gerät für den "The Moon" getauften Schädling anfällig sei, hänge von der Firmware-Version ab. Die aktuelle Version 2.0.06 sei ebensowenig betroffen wie die alternative Firmware OpenWRT.

Dem Hersteller Belkin sei das Problem bekannt, so das ISC. Das Einfallstor sei die Fernwartungsschnittstelle "Home Network Administration Protocol" (HNAP). Ein möglicher Befall gehe mit starkem Datenverkehr einher: Jeder befallene Router suche in großen, typischerweise für Kabel- und DSL-Kunden reservierten Netzbereichen nach weiteren anfälligen Geräten. Momentan nehmen die Forscher an, dass sich die Malware lediglich selbst ausbreitet, schließen aber eine mögliche Fernsteuerungsfunktion wie in einem Botnetz nicht aus. Für Linksys-Anwender empfiehlt es sich als Vorsichtsmaßnahme, HNAP auszuschalten, den Router neu zu starten und die Firmware zu aktualisieren.

Quelle : www.heise.de

[SiLæncer]

Die Analyse von heise Security beweist, dass keineswegs ein freigeschalteter Fernzugang erforderlich ist, um eine Fritzbox komplett zu kapern. Das kann im Prinzip eine einfache Web-Seite. Wer es noch nicht getan hat, sollte also schleunigst updaten.

Bislang war in den Erklärungen von AVM zu den kürzlich entdeckten Sicherheitsproblemen der Fritzbox immer von Angriffen über die Fernsteuerfunktion die Rede. Eine Analyse der kürzlich veröffentlichten Sicherheits-Updates durch heise Security bestätigte jedoch unsere Vermutung: Das Problem lässt sich auch ganz einfach ohne die Fernsteuerfunktion ausnutzen. Somit ist die Schwachstelle deutlich gefährlicher, als bislang angenommen.

Mit Unterstützung des Reverse-Engineering-Spezialisten Hanno Heinrichs konnten wir die genaue Position der Schwachstelle in den verwundbaren Firmware-Versionen identifizieren, die AVM bislang nicht weiter dokumentieren wollte. Sie hat nichts mit der Fernsteuerung zu tun. Ein Angreifer erhält durch diese Lücke die vollständige Kontrolle über den Router und kann beliebige Befehle mit Root-Rechten ausführen – und zwar schon dann, wenn das Opfer hinter der Fritz!Box eine Web-Seite mit seinem Schadcode aufruft.

Der ganze Artikel

Quelle : www.heise.de

[Joutungwu]

Sehr interessant, AVM hat hat also absichtlich Quatsch erzählt (darf man schon "gelogen" sagen?), um die Kunden in falscher Sicherheit zu wiegen. Ganz großes Kino! 

Wenigstens gab es recht schnell ein Sicherheitsupdate.

Trotzdem ein weiteres gutes (schlechtes) Beispiel für die Kategorie: Wie zerstört man das Vertrauen der Kunden am Besten?

Die gelben geflügelten Pinocchios lassen grüßen.

[SiLæncer]

Nach langem Hin und Her hat AVM jetzt eine Liste aller Fritzboxen veröffentlicht, die deren genauen Sicherheitsstatus dokumentiert. Für zwei der betroffenen Geräte steht noch kein Update bereit und einige Fragen bleiben weiterhin offen.

Mit einer Übersicht zu den Sicherheits-Updates aller Fritzbox-Router beendet AVM das Rumgeeier, welche Modelle nun für die klaffende Sicherheitslücke der Fritzboxen anfällig sind. Noch am gestrigen Dienstag verwirrte der AVM-Kundendienst besorgte Kunden mit Haarspaltereien, nach denen Geräte ohne Fernwartungszugang von den Angriffen nicht betroffen seien.

Das ist zwar nicht ganz falsch – die bisher bekannt gewordenen Angriffe benötigen tatsächlich den Fernwartungszugang. Fakt ist aber, wie heise Security eindeutig nachweisen konnte, dass bis auf wenige Ausnahmen nahezu alle Geräte (auch ohne Fernwartung) verwundbar sind und deren Nutzer jederzeit zum Opfer von Betrügereien werden können. Die kann im Prinzip schon der Aufruf einer scheinbar harmlosen Web-Seite durchführen.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Hacker nutzen Sicherheitslücken in Routern der Firma Asus aus, um deren Nutzer mit Hilfe einer Textdatei zu warnen. Darin erklären die Unbekannten den Betroffenen, wie sie ihre Router sichern können.

Unbekannte Hacker haben die #Asusgate-Lücken dazu ausgenutzt, betroffene Nutzer zu warnen, indem sie eine Textdatei auf an deren Routern angeschlossene Festplatten hinterlassen haben. Die Nachrichten wurden angeblich automatisch an verwundbare Systeme geschickt, basierend auf der Liste von über 12.000 IP-Adressen, die Unbekannte Anfang des Monats veröffentlichten.

Der ganze Artikel

Quelle : www.heise.de