Sicherheitslücke im o2-Autokonfigurationssystem

Auch wenn diese Sicherheitslücke vermutlich noch nicht ausgenutzt wird, kann es sinnvoll sein präventiv Maßnahmen zu ergreifen.

https://

Nur vertrauenwürdigen Personen zum Heimnetz geben

Da sich die Sicherheitslücke nur aus dem Heimnetz ausnutzen lässt, sollte man dieses schützen. Wenn derzeit Personen Zugriff auf das WLAN haben, denen man das Abrufen und Missbrauchen der VoIP-Zugangsdaten grundsätzlich zutraut, sollte man das WLAN-Passwort ändern und dafür sorgen, dass nur vertrauenswürde Personen Zugriff auf Heimnetz haben.

In diesem Zusammenhang ist es wichtig zu wissen, dass das Gast-WLAN bei Fritzboxen nicht schützt, da auch darüber die VoIP-Zugangsdaten abgerufen werden können. Man könnte zwar HTTPS für das Gast-WLAN deaktivieren, aber dann sind gar keine verschlüsselten Verbindungen zu Webseiten mehr möglich und viele Webseiten werden nicht mehr wie gewohnt funktionieren.

Aktueller Virenscanner

Um die Wahrscheinlichkeit zu verringern, dass Viren/Trojaner die VoIP-Zugangsdaten abrufen und missbrauchen, sollte man einen aktuellen Virenscanner auf allen Geräten haben.

Den Zugriff auf die o2-Autokonfigurationsserver blockieren

Um die VoIP-Zugangsdaten zu erhalten werden nacheinander zwei o2-Autokonfigurationsserver kontaktiert. Dies sind:

• acs.o2online.de mit der IP-Adresse 89.204.159.3
• hdm.o2online.de mit der IP-Adresse 89.204.159.2

Wenn man den Zugriff auf diese beiden IP-Adressen blockiert, können die VoIP-Zugangsdaten nicht mehr abgerufen werden.

Windows Firewall

Durch das blockieren der Windows Firewall wird es z.B. Viren/Trojanern erschwert auf den o2-Autokonfigurationsserver zuzugreifen. Andere Geräte können aber weiterhin auf die o2-Autokonfigurationsserver zugreifen.

Um die Windows-Firewall entsprechend zu konfigurieren kann man wie folgt vorgehen (erstellt unter Windows 7, bei anderen Windows-Versionen ggf. abweichend):

Systemsteuerung=>Windows Firewall=>Erweiterte Einstellungen (ein Fenster „Windows Firewall mit erweiterter Sicherheit“ sollte sich geöffnet haben)

• „Ausgehende Regeln“
• „Neue Regel…“
• Regeltyp: „Benutzerdefiniert“
• Programm: „Alle Programme“
• Protokolltyp: „Alle“
• Bereich: Für welche lokalen IP-Adressen gilt diese Regel? „Beliebige IP-Adresse“
• Für welche Remote-IP-Adressen gilt diese Regel? „Diese IP-Adresssen“
• „Hinzufügen…“=>“Diese IP-Adresse“=>89.204.159.3
• „Hinzufügen…“=>“Diese IP-Adresse“=>89.204.159.2
• Aktion: „Verbindung blockieren“
• Profil: Alle Häkchen setzen
• Name: z.B. „o2-Autokonfigurationsserver blockieren“

Router

Wenn im Router Verbindungen zu den o2-Autokonfigurationsservern blockiert werden, können keine Geräte aus dem Heimnetz mehr auf die o2-Autokonfigurationsserver zugreifen. Weder Viren/Trojaner noch böswillige Nutzer können dann die VoIP-Zugangsdaten abrufen.

In den o2-Boxen gibt es leider keine Möglichkeit die Verbindung zum Autokonfigurationsserver zu blockieren. Falls jemand eine Möglichkeit kennt, gerne beschreiben.

In Fritzboxen von AVM hat man die Möglichkeit die Konfigurationsdatei manuell anzupassen um den Zugriff auf die o2-Autokonfigurationsserver zu blockieren.

Die Konfigurationsdatei über das Webinterface der Fritzbox sichern (System=>Sicherung=>Sichern), dabei kein Passwort vergeben

Von dieser Sicherungsdatei eine Kopie anlegen um die Daten notfalls wiederherstellen zu können.

Den FBEditor in der Version 0.7.2.1 herunterladen und starten: Release FBEditor Version 0.7.2.1 · mypikachu/FBEditor · GitHub

Über Datei=>Öffnen die abgespeicherte Sicherungsdatei laden.

Dort folgenden Abschnitt suchen:

ar7cfg=>dslifaces (mit name=”internet”)=>dsldpconfig=>highoutput=>accesslist

Der Bereich sollte ungefähr so aussehen (Achtung, davon gib es mehrere in der Datei, aber nur einer muss geändert werden):

highoutput {

  policy = "permit";

  accesslist =

    "reject ip any 242.0.0.0 255.0.0.0",

    "deny ip any host 255.255.255.255",

    "reject ip any 169.254.0.0 255.255.0.0";

}

Hier müssen zwei Zeilen eingefügt werden:

highoutput {

  policy = "permit";

  accesslist =

    "reject ip any host 89.204.159.3",

    "reject ip any host 89.204.159.2",

    "reject ip any 242.0.0.0 255.0.0.0",

    "deny ip any host 255.255.255.255",

    "reject ip any 169.254.0.0 255.255.0.0";

}

Anschließend Datei=>Speichern. Der FBEditor berechnet automatisch die Prüfsumme und fügt sie am Ende der Datei ein. Deshalb kann man auch keinen „normalen“ Texteditor benutzen

Die veränderte Datei in die Fritzbox laden (System=>Sicherung=>Wiederherstellen). Die Fritzbox startet neu und die Einstellungen sollten aktiv sein.

Den Erfolg verifizieren

Die o2-Autokonfigurationsserver antworten zwar selber nicht auf „Pings“, aber man kann versuchen andere Server auf der Strecke zum o2-Autokonfigurationsserver anzupingen.

Mit dem Befehl „ping –i 3 acs.o2online.de“ wird die dritte Station auf dem Weg zum o2-Autokonfigurationsserver angepingt. Vor den Maßnahmen sollte man ein „Antwort von XX.XX.XX.XX: Die Gültigkeitsdauer wurde bei der Übertragung überschritten.“ erhalten (falls nicht statt der 3 mal die Werte 4, 5 oder 6 ausprobieren). Nach Aktivieren der Maßnahmen sollte man ein „Allgemeiner Fehler“ oder „Zeitüberschreibung der Anforderung.“ erhalten.

Man kann dem Mann nur gratulieren, dass er es geschafft hat auf diese Weise an seine VOIP Zugangsdaten zu kommen.

Ein weiterer Vorteil der Fritzbox 7490 ist das Gastnetz, das über LAN und WLAN verfügbar ist und in das alle Besucher gehören. Das sollte noch besser sein als den PC abzusichern, denn ein Angreifer kommt i.d.R. mit seinen eigenen Geräten. Ich setze dabei allerdings voraus, das der Gast keine Autokonfigurationsdaten abrufen kann. Prüfen kann ich das nicht.

Übrigens - den Hack braucht man an schlecht gesicherten Fritzboxen nicht. Da wird, sofern der Zugang zur Fritzbox möglich ist, die Konfiguration als Datei ausgelesen, dekodiert und mißbraucht. Also auch den Systemzugang zur Fritzbox gut sichern!

Wer Zugang zur Box bekommt, kann die Sicherungsdatei erstellen, mitnehmen,  in FritzOS 6.5 einspielen, dekodieren - voila ...

Da braucht man weder den Hack, noch Telnet. Daher muß eine Risikoanalyse auch andere Angriffsszenarien beinhalten. 

Nur muss er erst mal den Zugriff haben von außen.

Leider sind ja die Schwachstellen bei derAutokonfig schon lt. Artikel seit Jahren bekannt, Die Veröffentlichung des Artikels wurde um fast 1 Jahr heraus gezögert.

O2 ist damit sicher nicht der einzige Provider den es treffen könnte. Ich denke mal die gesamte Telefonica- Gruppe (darunter auch 1&1) könnte betroffen sein.

Bei manchen VoIP-Anschlüssen ist die nomadische Nutzung möglich, bei anderen nicht. Ob die nomadische Nutzung auch im Ausland möglich wäre, habe ich noch nicht geprüft.

Aber auch bei Anschlüssen ohne nomadische Nutzung könnte ein Virus/Trojaner aus dem Heimnetz heraus Telefonieverbindungen herstellen und damit Kosten verursachen.

Also an meinem Anschluss kann ich problemlos vom PC aus (z.B. mit dem SIP-Client "Phoner") nach draußen telefonieren, auch wenn die ausgehende Rufnummer in der Fritzbox registriert ist.

OT @nemesis03‌ @VoIP-Droide‌ Zwecks SipGate ich würde da gerne mal paar Infos haben, da ich mir gerne eine 2. Nummer fürs Fax zulegen würde, aber da bei denen nicht durch sehe.

Stimmt, passt nicht zum Thema und SG kann man bei Fax vergessen