Themabewertung:
  • 1 Bewertung(en) - 4 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
  
Backdoor / Sicherheitslücke in aktueller Firmware
01.01.2015, 08:19, Dieser Beitrag wurde zuletzt bearbeitet: 01.01.2015, 08:51 von Schimmelreiter.
 
Backdoor / Sicherheitslücke in aktueller Firmware
Genexis und/oder Deutsche Glasfaser/fl!nk haben Vollzugriff auf sämtliche Geräte in Euren Heimnetzen (via ssh).

Was an der Hintertür besonders erschreckend ist:

Kardinalfehler 1:

Zugriffsversuch auf einen von mir installierten dropbear ssh daemon:
Zitat:C:\>ssh root@some.host.foo
Permission denied (publickey).
Einloggen ist nur mittels Public-Key-Authentifizierung möglich, welche ungleich schwieriger zu kompromittieren ist als ...

Zugriffsversuch auf den dropbear ssh daemon eines Genexis-Routers:
Zitat:C:\>ssh root@2a00:61e0:aabb:cc00::1
root@2a00:61e0:aabb:cc00::1's password:
Permission denied, please try again.
root@2a00:61e0:aabb:cc00::1's password:
Permission denied, please try again.
root@2a00:61e0:aabb:cc00::1's password:
Permission denied (publickey,password).

Genexis hat den nicht abschaltbaren dropbear nicht nur per pubkey auth geöffnet, sondern auch per Password-Login.


Kardinalfehler 2:

Noch ein Zugriffsversuch, diesmal aus einem anderen Client heraus:
Zitat:[SSH] Server Version dropbear_0.51
[SSH] FAIL: Permission denied (publickey,password).
dropbear Version 0.51 ist von mehreren bekannten
Sicherheitslücken betroffen.


Eine davon ist es, durch verschiedene Zeiten vom Anmeldeversuch bis zum Scheitern indirekt zu verraten, ob der Benutzer überhaupt existiert ...
Wer ein bißchen Source Code lesen kann,, guckt jetzt einfach im entsprechenden Patch nach, wie groß diese Abweichung in etwa war und hat damit einen prima Ansatz, zuerst einmal den Benutzernamen auszutesten ...

Mit der aktuellen Firmware des Genexis-Routers ist es eigentlich nur eine Frage der Zeit, bis nicht mehr nur Genexis und/oder DGF den Vollzugriff auf's Heimnetz haben, sondern quasi Hinz und Kunz.
Aber was kann man mit Leitungen mit symetrischen 100 oder 200 MBit/s schon für Schaden anrichten ... Oops.

Zur Hintertür:
... Wer ssh kennt, braucht hier eigentlich nicht weiterzulesen ...

ssh (Secure Shell) ermöglicht das Tunneln eines beliebigen Ports jedes beliebigen Systems, das durch das Server-System erreicht werden kann, also in diesem Fall
a.) das gesamte Internet
b.) das gesamte Heimnetz
zum ssh-Client.

Beispiel:

Die folgende Befehlsfolge auf einem beliebigen Rechners mit OpenSSH-Client:
Code:
ssh -N -L *:445:192.168.187.20:445 -l <Benutzername> <IPv6 eines beliebigen Genexis-Routers>

Läßt den CIFS-Server (Also die Windows-Freigaben) des Rechners 192.168.187.20 als auf dem Rechner mit dem SSH-Client laufend erscheinen, so daß in dessen Netz absolut derselbe Zugriff auf diese Windows-Freigaben möglich ist, wie er es auch von einem regulären Rechner im Heimnetz, also z.B. 192.168.187.21, aus möglich wäre.

Anderes Beispiel:
Code:
ssh -N -L *:8080:127.0.0.1:80 -l <Benutzername> <IPv6 eines beliebigen Genexis-Routers>
würde das Web-Interface des Genexis-Routers auf dem SSH-Client, Port 8080 verfügbar machen.

Welcher Schaden so anzurichten wäre, hängt z.B. auch davon ab, ob Ihr in Euren Netzen das Heimnetz grundsätzlich als vertrauenswürdig betrachtet oder eher nicht.


Nun mal ein abtrakteres Beispiel:
Code:
ssh -N -L *:995:pop3.whitehouse.gov:995 -l <Benutzername> <IPv6 eines beliebigen Genexis-Routers>

Wenn ein Mitarbeiter von Genexis oder DGF Langeweile hat, kann er auf diese Weise seinen Versuch, den Mailserver des Weißen Hauses zu hacken, über Euren Router leiten ... die Serveradresse ist dabei jetzt nur mal plausibel gewählt aber nicht unbedingt richtig Smile

Vorteil für ihn:
Das SEK steht vor Eurer Tür, nicht seiner ...



Fazit:
Wer den privaten Schlüssel und/oder Login und Kennwort für den Router hat (Und niemand weiß, ob das nur der Cheffe oder auch jeder Praktikant ist) kann durch einen Genexis-Router
a.) Das gesamte Internet mit Eurer Absender-IP
und/oder
b.) Das gesamte Heimnetz des Anwenders
angreifen.

Receiver/TV/PC:
  • Duo² / ATV 5.3 / 4*DVB-S2 / 1,8TB / Samsung 50" Plasma / Yamaha RX-V 663
  • Quadbox / ATV 5.3 / 930GB / Samsung 32" TFT
  • DVBSky S-Twin / Samsung T240HD / Yamaha RX-V595aRDS :o

Internet: UM 1play 100 / Cisco3212+Linksys WRT1900ACS / IPv4 (UM)+IPv6 (HE)
 Quote
08.01.2015, 13:27,
 
RE: Backdoor / Sicherheitslücke in aktueller Firmware
Danke für die ausführliche Darlegung.

Grüße
 Quote
10.01.2015, 18:10,
 
RE: Backdoor / Sicherheitslücke in aktueller Firmware
da hat der Junge man mal garnicht so unrecht
es ist eine frechheit was die DGF sich erlaubt eine Kaputte Firmware raus zu bringen un der User kan sich nur schützen wen er sich nen PC als Firewall dazwischen Hängt
http://community.smoothwall.org
 Quote
10.01.2015, 22:11,
 
RE: Backdoor / Sicherheitslücke in aktueller Firmware
Der höchst beachtliche Hinweis von @Schimmelreiter zum von der DGF eingerichteten "Service-Zugang" rückt in der Tat den Gedanken in den Vordergrund, dass es für viele Benutzer möglicherweise mehr darauf ankommt, den "Provider unseres Vertrauens" sicher kontrolliert aus unserem Heimnetzwerk auszusperren, als darauf, wie wir selbst unsere Heimnetze von Außen erreichen könnten.

@Cyberscitymaste: Danke für Deinen Hinweis auf SmoothWall. Hast Du denn damit Dein IPv4-Kameraproblem lösen können?
Für SmootWall-Interessenten empfehle ich: http://www.chip.de/artikel/SmoothWall-Express-3.0-So-machen-Sie-Ihr-Netzwerk-sicher_29104119.html - Zu Bedenken ist jedoch, dass "obsolete alte" PC mit mehreren Gigabit-Netzwerkkarten sicherlich auch unter dem Aspekt des Stromverbrauches überdacht werden müssen.

Da ich für Telefonie, Mediaservices und Smarthome-Funktionen ohnehin eine Gigabit-Fritz!box (7390) verwende mache ich mit deren Firewall (Router-Kaskade) mein Netzwerk ein wenig dicht und schalte dort IPv6 ab.

@Moderatoren: Falls diese Diskussionen nicht in die Rubrik "Genexis Firmware" sollen bitte ich um Verschiebung des Beitrages.
 Quote
11.01.2015, 00:12,
 
RE: Backdoor / Sicherheitslücke in aktueller Firmware
Man sollte dazu ein paar Dinge klarstellen:

Die Möglichkeiten anderer Provider unterscheiden sich nicht wesentlich, sie können sowohl den Zwangsrouter als auch die meisten kundeneigenen Router nahezu beliebig umkonfigurieren (Wenn man diese Möglichkeit nicht explizit abschaltet bzw. abschalten kann). Diesen Aspekt sollte man vor allem im Auge behalten, sollte tatsächlich irgendwann mal ein Bridge-Mode kommen.

und

Sowohl über die Lösung mit einer eigenen (Hardware-)Firewall als auch über die mit dem OpenWrt-Router (Der dann letztlich auch nix anderes als eine HW-Firewall ist) kann man beides haben, also den Zugriff des Providers auf dessen Router beschränken und sein Netz trotzdem gezielt (z.B. per VPN) von außen erreichbar machen.


Die Variante mit OpenWrt ist relativ preiswert zu haben, geeignete Router kosten unter 100 EUR und können immer noch als gute WLAN-AP herhalten, sollte es irgendwann mal einen Bridge-Modus geben und man seine Fritz!Box zurück haben möchte.
Die Variante mit pfSense oder einer anderen HW-Firewall (Genau genommen ist pfSense natürlich auch eine Software, aber man nutzt sie in der Regel auf einer speziell für diesen Einsatzzweck bestimmten Hardware, die im Gegensatz zum ausgedienten 500W-PC nur einen Bruchteil des Stroms verbrät) ist professioneller und hat auch eine höhere Routing-Leistung, kostet aber auch mehr.
Entsprechende Kits (Gehäuse plus Board) liegen dann eher so bei 200 EUR.

Receiver/TV/PC:
  • Duo² / ATV 5.3 / 4*DVB-S2 / 1,8TB / Samsung 50" Plasma / Yamaha RX-V 663
  • Quadbox / ATV 5.3 / 930GB / Samsung 32" TFT
  • DVBSky S-Twin / Samsung T240HD / Yamaha RX-V595aRDS :o

Internet: UM 1play 100 / Cisco3212+Linksys WRT1900ACS / IPv4 (UM)+IPv6 (HE)
 Quote
11.01.2015, 01:14,
 
RE: Backdoor / Sicherheitslücke in aktueller Firmware
(11.01.2015, 00:12)Schimmelreiter schrieb:  Die Möglichkeiten anderer Provider unterscheiden sich nicht wesentlich, sie können sowohl den Zwangsrouter als auch die meisten kundeneigenen Router nahezu beliebig umkonfigurieren (Wenn man diese Möglichkeit nicht explizit abschaltet bzw. abschalten kann). Diesen Aspekt sollte man vor allem im Auge behalten, sollte tatsächlich irgendwann mal ein Bridge-Mode kommen.
Ich verstehe Dich so, dass der Bridge-Modus (oder ein Media-Konverter) potentiell gefährlicher wäre als die Router-Kaskade, gäbe es die von Dir offengelegte Sicherheitslücke nicht.
Bei meiner 7390 mit FRITZ!OS 06.21-29680 kann ich in der Betriebsart "Externes Modem oder Router" Funktionen wie "Automatische Einrichtung durch den Dienstanbieter zulassen" und "Automatische Updates zulassen" nicht mehr beeinflussen. Muss ich davon ausgehen, dass "unser" Provider dennoch "beliebig umkonfigurieren" kann? Ist TR-069 für uns als Gefahrenquelle von Belang?

(11.01.2015, 00:12)Schimmelreiter schrieb:  Die Variante mit OpenWrt ist relativ preiswert zu haben, geeignete Router kosten unter 100 EUR und können immer noch als gute WLAN-AP herhalten, sollte es irgendwann mal einen Bridge-Modus geben und man seine Fritz!Box zurück haben möchte.
Könntest Du freundlicherweise einen "geeigneten Router" empfehlen?
 Quote
11.01.2015, 11:48,
 
RE: Backdoor / Sicherheitslücke in aktueller Firmware
Guten Tag,

zur Routerempfehlung würde ich gerne noch einen recht günstigen, dennoch guten Router empfehlen.

Ubiquiti Edge Router Lite

Man verzichtet nur auf WLAN, das bei mir z.B. sowieso ein besser positionierter AP übernimmt.

Das ganze bassiert auf der OpenSource Lösung vyatta und hat eine Konfigurierationsoberfläsche.
Alles was in der Oberfläche noch nicht geht ganz einfach geht, kann in der Oberfläche oder per SSH als config Tree erledigt werden.
Alles in allem recht gemütlich zu konfigurieren, auch für nicht Fachleute.

Der Router ist mit Abstand der schnellste in der Preisklasse und kostet nur um die 90 Euro.
Dafür bekommt man Funktionen und Geschwindigkeit der höherklassigen Router.
Von HW-Firewall über VPN (mit connection-mark, um z.B. auch über den Tunnel zu antworten, bei eigentlichem WAN Standardgateway) bis zu Load-Balancing und Failover zu anderen Verbindungen.

Grüße
 Quote
11.01.2015, 14:42, Dieser Beitrag wurde zuletzt bearbeitet: 11.01.2015, 14:42 von Schimmelreiter.
 
RE: Backdoor / Sicherheitslücke in aktueller Firmware
(11.01.2015, 01:14)TVHD schrieb:  Ich verstehe Dich so, dass der Bridge-Modus (oder ein Media-Konverter) potentiell gefährlicher wäre als die Router-Kaskade, gäbe es die von Dir offengelegte Sicherheitslücke nicht.
Nein, kommt auf's selbe raus.

(11.01.2015, 01:14)TVHD schrieb:  "Bei meiner 7390 mit FRITZ!OS 06.21-29680 kann ich in der Betriebsart "Externes Modem oder Router" Funktionen wie "Automatische Einrichtung durch den Dienstanbieter zulassen" und "Automatische Updates zulassen" nicht mehr beeinflussen."
Zitat AVM:
"Die Seite "Anbieter-Dienste" ist in der Benutzeroberfläche der FRITZ!Box nur dann vorhanden, wenn Ihr Internetanbieter die automatische Einrichtung der FRITZ!Box nach TR-069 unterstützt. TR-069 ist eine technische Spezifikation. Sie beschreibt die automatische Einrichtung von Internetzugangsgeräten (zum Beispiel FRITZ!Box) durch den Internet- und Internettelefonie-Anbieter (Dienstanbieter).
Auf der Seite "Anbieter-Dienste" können Sie die automatische Einrichtung der FRITZ!Box und automatische Firmware-Updates zulassen oder blockieren."

Zur Not läßt sich TR-069 in der Fritz!Box auch per Konsole deaktivieren.

(11.01.2015, 01:14)TVHD schrieb:  Muss ich davon ausgehen, dass "unser" Provider dennoch "beliebig umkonfigurieren" kann? Ist TR-069 für uns als Gefahrenquelle von Belang?
Wenn es aktiv ist, dann schützt auch die Router-Kaskade nicht davor, wenn wir davon ausgehen, daß der Provider ja Zugriff auf den ersten Router hat.


(11.01.2015, 01:14)TVHD schrieb:  Könntest Du freundlicherweise einen "geeigneten Router" empfehlen?
Ich habe bisher Archer C5 (70 EUR) und Archer C7 (100 EUR) eingesetzt.
Beim C7 ist wichtig, die aktuelle Hardware-Revision v2 zu erhalten.

Ob der von cyp genannte Router für diesen konkreten Einsatzzweck taugt kann ich nicht beurteilen.

Hardwaremäßig ist er auf jeden Fall besser (Aber dafür kann man ihn nicht als WLAN-AP recyclen, falls man bei einem späteren Bridge-Modus doch lieber wieder was Einfaches wie die Fritz!Box nutzen will), die Frage ist, ob er für die IPv6-WAN-Anbindung auch zur reinen Firewall degradiert werden kann.

Letzteres ist das, was wir eigentlich wollen:
Da der Genexis kein Präfix delegiert (Was den Einsatz eines echten Routers unmöglich macht), bleibt nichts anderes übrig als IPv6-mäßig das selbe Netz zu benutzen wie im Genexis, wenn wir die Erreichbarkeit über IPv6 behalten wollen.
Dieser Aspekt wird von Access Points (Fritz!Box als IP-Client oder jeder andere Router mit IPv6-Support als Access Point) immer und ggf. von IPv6-tauglichen Firewalls erfüllt.

Gleichzeitig wollen wir aber auch eine Firewall zwischen dem Genexis und dem eigenen Heimnetz haben und dieser Punkt wird von herkömmlichen Plastikroutern mit Werksfirmware im AP-Modus nicht mehr erfüllt.

Damit bleiben nur noch Firewalls ...

Receiver/TV/PC:
  • Duo² / ATV 5.3 / 4*DVB-S2 / 1,8TB / Samsung 50" Plasma / Yamaha RX-V 663
  • Quadbox / ATV 5.3 / 930GB / Samsung 32" TFT
  • DVBSky S-Twin / Samsung T240HD / Yamaha RX-V595aRDS :o

Internet: UM 1play 100 / Cisco3212+Linksys WRT1900ACS / IPv4 (UM)+IPv6 (HE)
 Quote
11.01.2015, 15:29, Dieser Beitrag wurde zuletzt bearbeitet: 11.01.2015, 15:48 von cyp.
 
RE: Backdoor / Sicherheitslücke in aktueller Firmware
Ich habe es zwar noch nicht getestet, aber theoretisch ist das kein Problem.

Man hat die Möglichkeit Zonen oder ACL basierte Firewall Regeln zu definieren.

Sollte man für z.B. eth0 und eth1 ACL basierte Firewall Regeln definiert haben, kann man diese beiden Interfaces einer Bridge (br0) hinzufügen (switch0 wäre auch möglich).
Der einzige Nachteil ist, dürfte aber bei jedem Router der solch eine Aufgabe übernimmt zutreffen, dass der gesamte Durchsatz singt, da die CPU die Bridge/Switch emulieren muss (keine Hardware basierte Paketweiterleitung).
200mbit sind natürlich trotzdem überhaupt kein Problem.

Ich werde nicht mehr auf eine FritzBox zurückwechseln, da alleine schon die QoS Möglichkeiten weit weit über den Möglichkeiten der FritzBox liegen.
Nicht ohne Grund sagt der Edge Router über sich "Carrier Class Routing".


Da ich den Router aktuell sowieso nur in einer Testumgebung am vorkonfigurieren bin würde ich diesen auch bereitstellen um gewünschte Konfigurationen zu testen.


Es gibt aber vielleicht noch eine andere Möglichkeit, die ich als nächsten testen werde, denn der ERL (Edge Router Lite) unterstützt auch dhcpv6-relay.
Inwiefern sich das nutzen lässt kann ich aber noch nicht beurteilen.

Grüße

EDIT: Kann mir dafür vll jemand genau sagen durch welches verfahren der Genexis die Ipv6 Adressen verteilt?
 Quote
11.01.2015, 15:53, Dieser Beitrag wurde zuletzt bearbeitet: 11.01.2015, 15:59 von TVHD.
 
RE: Backdoor / Sicherheitslücke in aktueller Firmware
@Schimmelreiter:
Zunächst besten Dank für Deinen Hinweis, wie man überprüfen kann, ob TR-069 aktiv ist: Bei mir ergab sich, dass dies nicht der Fall ist, was mich ein wenig beruhigt.

Für Deine Routerempfehlung für OpenWrt und für Deine weiteren Ausführungen bedanke ich mich ebenfalls höflich.

(11.01.2015, 15:29)cyp schrieb:  Ich werde nicht mehr auf eine FritzBox zurückwechseln, da alleine schon die QoS Möglichkeiten weit weit über den Möglichkeiten der FritzBox liegen.
Nicht ohne Grund sagt der Edge Router über sich "Carrier Class Routing".
Darf ich fragen, was Du als Telefonanlage verwendest?
 Quote

  



Thread options
[-]
Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste