Millionen DSL-Router hochgradig gefährdet, CSRF-Attacke aus dem Web Einstellungen

[aido]

Das Thema ist hochgradig interessant so dass ich hier alle Direktlinks gepostet habe.

Cross Site Request Forgery als Angriffsvektor wurde lange unterschätzt. Doch jetzt ist es TecChannel gelungen, über einfache CSRF-Attacken DSL-Router von A wie AVM Fritz!Box bis Z wie ZyXEL über das Internet von außen anzugreifen. Surft man mit dem PC auf eine manipulierte Website, kann die komplette Konfiguration der DSL-Router unbemerkt modifiziert werden. Quelle: tecChannel

Weitere Direktlinks zu tecChannel:

Angriffsvektor CSRF (XSRF oder Session Riding)
CSRF-Logout-Button-Attacke
Cookie-Manipulation mit CSRF
CSRF-Angriff auf das interne Netz
Sicherheitsrisiko DSL-Router
AVM bestätigt Angriff
Das Passwort allein schützt nicht

Aber selbst wenn ein Kennwort gesetzt ist: Wer beim Browsen mehrere Fenster geöffnet hat und in einem davon auf dem DSL-Router eingeloggt ist, ist von allen anderen Fenstern aus komplett ungeschützt. Bei Zugriffen auf einen Server nutzt der Browser trotz mehrerer Tabs nämlich immer nur eine Session

Nana, hier macht das doch keiner oder?

Potenzielle und reale Gefahren für DSL-Router
Schutzmaßnahmen
Fazit


aido

Der Beitrag wurde von aido bearbeitet: 08.04.2009, 20:22

[Voyager]

Wenn ich das richtig verstehe besteht die Gefahr nicht wenn der Routerzugang ein neues Passwort besitzt und man auf betoffenen Webseiten nicht gleichzeitig im Router eingeloggt ist ?

[aido]

Genau.
Sollte man sowieso nicht tun, Surfen und gleichzeitig im Router eingeloggt sein. Interessant wäre jetzt herauszufinden ob es generell alle Router betrifft. Die etwas teureren Router besitzen einige Funktionen (Content-/Web-Management) und ein ausgeklügeltes NAD-System das es einem Angreifer sehr schwer macht eine Lücke zu finden. Grundsätzlich werden alle Anfragenden Pakete verworfen sofern diese nicht explizit vom Router angefordert werden.

Zusätzlich sollte man grundsätzlich vermeiden, wenn man sich im Router eingeloggt hat mit demselben Fenster zu Surfen. Ebenso hilft es auch nicht den Tab zu schliessen, da Telnet weiterhin aktiv Sendet. Man kann also wenn man den Browser noch nicht geschlossen hat einen neuen TAB öffnen und den Router aufrufen - das Passowort entfällt dabei.
Schliesst man aber den Browser und startet danach neu, findet wieder eine Passwortabfrage statt.

Ich finde es sowieso blödsinn, dass die meisten Router heutzutage Scripting zulassen. Ein einfaches Textbasiertes System ohne jegliche Erweiterungen und schon sind die Probleme gelöst. Da hilft jetzt auch nichts, wenn die Hersteller dahergehen und Patchen was das Zeug hält.

Der Beitrag wurde von aido bearbeitet: 08.04.2009, 22:11

[Heike]

Man kann also wenn man den Browser noch nicht geschlossen hat einen neuen TAB öffnen und den Router aufrufen - das Passowort entfällt dabei.

Ist beim Speedport w700v nicht so, kommt also wohl auf den Router an.

[Gast_Mike62_*]

Ist beim Speedport w700v nicht so, kommt also wohl auf den Router an.

Momentan nutze ich ebenfalls eine FritzBox. Nachdem ich auf diesen Bericht gestoßen bin, macht sich bei mir ebenfalls Unsicherheit breit.

Ein nagelneues Speedport w700v habe ich auch noch im Schrank liegen. Wurde mir damals mit dem Call & Surf Comfort 4 Tarif zugeschickt. Ich denke, das werde ich mir morgen mal genauer anschauen.

Hat hier jemand Erfahrung mit diesem Gerät?

[Sparks]

Sollte man sowieso nicht tun, Surfen und gleichzeitig im Router eingeloggt sein.

So ist es. Deswegen sollte man das Ganze auch nicht so dramatisch sehen. Die Gefährdung besteht nur, wenn der User sich entsprechend verhält.

[Heike]

ich habe den Speedport w700v seit ungefähr 2 Jahre, läuft eigentlich problemfrei. 2 mal hat er irgendwie meine Settings vom Portforwarding durcheinandergewürfelt, da wurden die Ports dann auf einmal anderen PCs zugeordnet.

[aido]

Ist der Speedport nicht ein Produkt aus der AVM-Abteilung. Was ist denn da anders, ausser das es von T-Home kommt?

[der allgäuer]

das w700v ist von siemens.

[dataandi]

Ist der Speedport nicht ein Produkt aus der AVM-Abteilung.

der w700 V kommt von http://www.arcadyan.com

Der Speedport W 700V stammt vom Zulieferer Arcadyan, einem Joint-Venture zwischen der SMC-Mutter Accton Technology und Philips und gehört zu mehreren T-DSL-Paketangeboten der Telekom.

der w701 V kommt wieder von AVM

Speedport 200 = http://www.tecomproduct.com ?
Speedport W 303V = Wahrscheinlich Siemens/Arcadyan
Speedport 500V = Hitachi
Speedport W 500V = Hitachi
Speedport W 501V = AVM
Speedport W 502V = Wahrscheinlich Arcadyan
Speedport W 503V = AVM
Speedport W 700V = arcadyan (siehe Posting weiter unten)
Speedport W 701V = AVM
Speedport W 720V = Siemens
Speedport W 721V = AVM
Speedport W 900V = AVM (Fritz!Box DECT W900V)
Speedport W 920V = AVM (Fritz!Box 7270)
Eumex 300IP = AVM (leicht abgeaenderte Version der FRITZ!Box Fon)
congstar DSL-Box = W 701V = AVM

Der Beitrag wurde von dataandi bearbeitet: 12.04.2009, 22:16

[Heike]

es gibt Speedports von Siemens und AVM, vielleicht auch noch von anderen.

[aido]

Ah Danke ich hab gerade einen von T-Home erhalten den W 503 V weil ich ein anderes Paket geschnürrt habe. Jetzt stehen bei mir 5 Router zwei davon werden effektiv genutzt

[Gast_J4U_*]

Speedport - was ist denn da anders, ausser das es von T-Home kommt?

Genau das.
Ich kenne nur die Geräte aus der AVM-Reihe, im direkten Vergleich schneiden die T-Online-Ausgaben nicht gut ab.
Im Ausgangszustand ist es ein originales AVM-Gerät mit einem pink umgefärbten Soft(Firm-)warestand x, und genau hier liegt der Hund begraben.
Während AVM ständig die Software verbessert und erweitert, gibt es bei Telekoms höchst selten ein Update - und das in der Regel auch nur dann, wenn etwas kritisch wurde.
Mir ist egal, was die Telekom an (Lock-)Angeboten hat, ich kaufe mein Zeug selbst und muss mich nicht ärgern, wenn es bei AVM eine Erweiterung gab und beim grossen T nicht.

J4U

[Heike]

Klassiker: Speedport W700V (Siemens?) oder W701V (AVM)
Infos zu Speedport w700v: Klick

Ich hatte mir vorletztes Jahr einen FRITZ!Box Fon WLAN 7270 gekauft, der aber mit VDSL überhaupt nicht funktionierte, habe ihn dann zurückgegeben. Dieses Problem hatten übrigens einige Leute, wie ich bei Google erfuhr.

[dataandi]

Mit der Versorgung von neuer Soft- und Firmware ist AVM schon sehr gut aufgestellt. Leider ist nicht jeder Hersteller so vorbildlich, kommt das Produkt etwas in die Jahre dann wird da kaum noch nachgebessert. Beispiel ist mein Router, ein D-Link DGL-4100 oder meine Firewall D-Link DFL-200. Eigentlich gute Produkte bis man beschlossen hatte dieses nicht weiter zu vertreiben (DGL-4100). Also gab es noch ein letztes Update und das war es dann für den Kunden. Für meinen DFL-200 stammt die letzte offizelle Firmware aus dem Jahr 2006. Echt schade da man als Kunde ja auch irgendwie etwas Support mitkauft.
Schließlich kann man ja nicht alle zwei Jahre einen neuen Router kaufen. Entscheidet man sich aber dann dafür bekommt man vom Hersteller nichts vergleichbares mehr.
Seltsamerweise ist dieses Verhalten nur auf dem Heimanwendermarkt zu beobachten. Darum ist es immer nur eine Frage der Zeit wann Lücken in der Routersoftware auftauchen.
Der Kunde kann da kaum was machen und ist einfach auf die Versorgung durch den Hersteller angewiesen.

Ich hoffe nur die beiden Geräte werden noch lange funktionieren da es an Alternativen mangelt. Früher war das Angebot für Heimrouter besser als heute. Vermutlich ist einfach der Markt zu klein...

Der Beitrag wurde von dataandi bearbeitet: 13.04.2009, 11:13

[Gast_J4U_*]

Vermutlich ist einfach den Markt zu klein...

Der Markt ist da.
Allerdings ist es den grossen Telekommunikationsunternehmen völlig sch....egal, ob ihre Kunden geschützt sind, ob ihre Kunden etwas mehr Komfort haben möchten, usw.
Denen geht es nur darum, die Anschlüsse zu verkaufen. Da es ohne ein Mindestmass an Hard- und Software nicht funktioniert, wird im Startpaket von beiden etwas verpackt - so billig wie möglich. Support ist nicht vorgesehen, weil der wieder Geld kostet.
Der Paketkäufer (auch gemeinhin als Kunde bezeichnet), bekommt eine Installationsanleitung und wird völlig im Unklaren darüber gelassen, was er überhaupt angeschlossen hat, wozu das dient, usw.
Der (deutsche) Kunde hat nun nicht das geringste Interesse, seinen Horizont (Kenntnisstand) zu erweitern, schliesslich muss er den Bierpreis beobachten, das Handbuch seines Autos auswendig lernen und Samstags nach dem Grillen DSDS gucken.
Fortsetzen kann es ab hier jeder beliebig...

J4U

...und am Ende sind nahezu alle Rechner in deutschen Haushalten tickende Zeitbomben; nur gut, dass es dem jeweiligen Besitzer mangels Kenntnissen nicht auffällt.

[Domino]

Ich hoffe nur die beiden Geräte werden noch lange funktionieren da es an Alternativen mangelt. Früher war das Angebot für Heimrouter besser als heute. Vermutlich ist einfach den Markt zu klein...

Naja, wenn alle zum DSL-Anschluss einen (kostenlosen) Router bekommen, wird der Markt eng.
O2 liefert einen Router, den man nutzen muss. Ein undedarfter Anwender kann den nicht mal austauschen.


Domino

[aido]

So billig war W 503 V garnicht. Der kostet ohne Paket €199,95

Der neue W 702 sogar knapp €100 mehr. Für den Preis erwarte ich eigentlich ein gutes Gerät - sollte man meinen. Ich nutzte mit meinen Rechner den Draytek und bin mit dem ganz zufrieden. Hoffe das der funktioniert, wenn T-Hohe mein Paket freischaltet, alles andere wäre eine verschlechterung.

[Gast_Mike62_*]

Die FritzBox 2170 erhielt ich ehemals kostenlos mit meiner AOL Flatrate. Den Speedport w700v beim Wechsel zu T-online. Und dann liegt hier noch eine fast unbenutzte FritzBox SL herum, die mir von einem Verwandten überlassen wurde.
Und das alles für nücht.

Abgesehen davon wird längst nicht alles so heiß gegessen, wie's gekocht wird. Ich kann mir schwerlich vorstellen, das dies alles erst seit ein paar Tagen bekannt ist.

Sollte man sowieso nicht tun, Surfen und gleichzeitig im Router eingeloggt sein.

Eben!
Obwohl...Kandidaten gibt es sicherlich zu Genüge.

Und hier gibt's noch ein Tool zur Kontrolle des Routers - allerdings noch nicht getestet.

RouterControl

Edit: Für mich leider uninteressant, da meine AVM 2170 in der Liste nicht aufgeführt ist. Schien recht interessant zu sein.

Der Beitrag wurde von Mike62 bearbeitet: 13.04.2009, 12:16

[dataandi]

Naja, wenn alle zum DSL-Anschluss einen (kostenlosen) Router bekommen, wird der Markt eng.

Vermutlich weil in den USA gibt es noch immer die "Gaming" Serie von D-Link. Es kommen auch nettere Sachen raus. z.B. den DSD-150 und auch die Preise sind billiger.