Auch wenn diese Sicherheitslücke vermutlich noch nicht ausgenutzt wird, kann es sinnvoll sein präventiv Maßnahmen zu ergreifen.
https://
Nur vertrauenwürdigen Personen zum Heimnetz geben
Da sich die Sicherheitslücke nur aus dem Heimnetz ausnutzen lässt, sollte man dieses schützen. Wenn derzeit Personen Zugriff auf das WLAN haben, denen man das Abrufen und Missbrauchen der VoIP-Zugangsdaten grundsätzlich zutraut, sollte man das WLAN-Passwort ändern und dafür sorgen, dass nur vertrauenswürde Personen Zugriff auf Heimnetz haben.
In diesem Zusammenhang ist es wichtig zu wissen, dass das Gast-WLAN bei Fritzboxen nicht schützt, da auch darüber die VoIP-Zugangsdaten abgerufen werden können. Man könnte zwar HTTPS für das Gast-WLAN deaktivieren, aber dann sind gar keine verschlüsselten Verbindungen zu Webseiten mehr möglich und viele Webseiten werden nicht mehr wie gewohnt funktionieren.
Aktueller Virenscanner
Um die Wahrscheinlichkeit zu verringern, dass Viren/Trojaner die VoIP-Zugangsdaten abrufen und missbrauchen, sollte man einen aktuellen Virenscanner auf allen Geräten haben.
Den Zugriff auf die o2-Autokonfigurationsserver blockieren
Um die VoIP-Zugangsdaten zu erhalten werden nacheinander zwei o2-Autokonfigurationsserver kontaktiert. Dies sind:
- acs.o2online.de mit der IP-Adresse 89.204.159.3
- hdm.o2online.de mit der IP-Adresse 89.204.159.2
Wenn man den Zugriff auf diese beiden IP-Adressen blockiert, können die VoIP-Zugangsdaten nicht mehr abgerufen werden.
Windows Firewall
Durch das blockieren der Windows Firewall wird es z.B. Viren/Trojanern erschwert auf den o2-Autokonfigurationsserver zuzugreifen. Andere Geräte können aber weiterhin auf die o2-Autokonfigurationsserver zugreifen.
Um die Windows-Firewall entsprechend zu konfigurieren kann man wie folgt vorgehen (erstellt unter Windows 7, bei anderen Windows-Versionen ggf. abweichend):
Systemsteuerung=>Windows Firewall=>Erweiterte Einstellungen (ein Fenster „Windows Firewall mit erweiterter Sicherheit“ sollte sich geöffnet haben)
- „Ausgehende Regeln“
- „Neue Regel…“
- Regeltyp: „Benutzerdefiniert“
- Programm: „Alle Programme“
- Protokolltyp: „Alle“
- Bereich: Für welche lokalen IP-Adressen gilt diese Regel? „Beliebige IP-Adresse“
- Für welche Remote-IP-Adressen gilt diese Regel? „Diese IP-Adresssen“
- „Hinzufügen…“=>“Diese IP-Adresse“=>89.204.159.3
- „Hinzufügen…“=>“Diese IP-Adresse“=>89.204.159.2
- Aktion: „Verbindung blockieren“
- Profil: Alle Häkchen setzen
- Name: z.B. „o2-Autokonfigurationsserver blockieren“
Router
Wenn im Router Verbindungen zu den o2-Autokonfigurationsservern blockiert werden, können keine Geräte aus dem Heimnetz mehr auf die o2-Autokonfigurationsserver zugreifen. Weder Viren/Trojaner noch böswillige Nutzer können dann die VoIP-Zugangsdaten abrufen.
In den o2-Boxen gibt es leider keine Möglichkeit die Verbindung zum Autokonfigurationsserver zu blockieren. Falls jemand eine Möglichkeit kennt, gerne beschreiben.
In Fritzboxen von AVM hat man die Möglichkeit die Konfigurationsdatei manuell anzupassen um den Zugriff auf die o2-Autokonfigurationsserver zu blockieren.
Die Konfigurationsdatei über das Webinterface der Fritzbox sichern (System=>Sicherung=>Sichern), dabei kein Passwort vergeben
Von dieser Sicherungsdatei eine Kopie anlegen um die Daten notfalls wiederherstellen zu können.
Den FBEditor in der Version 0.7.2.1 herunterladen und starten:
Release FBEditor Version 0.7.2.1 · mypikachu/FBEditor · GitHub
Über Datei=>Öffnen die abgespeicherte Sicherungsdatei laden.
Dort folgenden Abschnitt suchen:
ar7cfg=>dslifaces (mit name=”internet”)=>dsldpconfig=>highoutput=>accesslist
Der Bereich sollte ungefähr so aussehen (Achtung, davon gib es mehrere in der Datei, aber nur einer muss geändert werden):
highoutput {
policy = "permit";
accesslist =
"reject ip any 242.0.0.0 255.0.0.0",
"deny ip any host 255.255.255.255",
"reject ip any 169.254.0.0 255.255.0.0";
}
Hier müssen zwei Zeilen eingefügt werden:
highoutput {
policy = "permit";
accesslist =
"reject ip any host 89.204.159.3",
"reject ip any host 89.204.159.2",
"reject ip any 242.0.0.0 255.0.0.0",
"deny ip any host 255.255.255.255",
"reject ip any 169.254.0.0 255.255.0.0";
}
Anschließend Datei=>Speichern. Der FBEditor berechnet automatisch die Prüfsumme und fügt sie am Ende der Datei ein. Deshalb kann man auch keinen „normalen“ Texteditor benutzen
Die veränderte Datei in die Fritzbox laden (System=>Sicherung=>Wiederherstellen). Die Fritzbox startet neu und die Einstellungen sollten aktiv sein.
Den Erfolg verifizieren
Die o2-Autokonfigurationsserver antworten zwar selber nicht auf „Pings“, aber man kann versuchen andere Server auf der Strecke zum o2-Autokonfigurationsserver anzupingen.
Mit dem Befehl „ping –i 3 acs.o2online.de“ wird die dritte Station auf dem Weg zum o2-Autokonfigurationsserver angepingt. Vor den Maßnahmen sollte man ein „Antwort von XX.XX.XX.XX: Die Gültigkeitsdauer wurde bei der Übertragung überschritten.“ erhalten (falls nicht statt der 3 mal die Werte 4, 5 oder 6 ausprobieren). Nach Aktivieren der Maßnahmen sollte man ein „Allgemeiner Fehler“ oder „Zeitüberschreibung der Anforderung.“ erhalten.
Reserviert
Man kann dem Mann nur gratulieren, dass er es geschafft hat auf diese Weise an seine VOIP Zugangsdaten zu kommen.
Ja, mit Zwangsrouter hat das Thema auch zu tun. Es ist aber nicht ausschließlich eine Zwangs-Router-Problematik, denn auch bei alten o2-DSL-Anschlüssen ohne Zwangsrouter gibt es die Autokonfiguration (auch wenn noch nicht klar ist, ob dort der selbe Mechanismus verwendet wird und diese Anschlüsse ebenfalls betroffen sind).
Ebenfalls gibt es noch keine Informationen, ob die herkömmlichen Zwangsrouter (o2-Box 4421, 6431, 6641, etc.) den betroffenen Mechanismus verwenden oder ob das Problem erst mit der Kompatibilität mit der Fritzbox 7490 entstand (die bei o2 aber formal auch "Zwangsrouter" ist). Die älteren o2-Boxen kann man nicht einfach an einen fremden Anschluss anschließen, da wohl auch die Seriennummer des Routers zum Anschluss passen muss.
Aber auch an Anschlüssen mit alten o2-Boxen, kann eine Fritzbox 7490 die VoIP-Zugangsdaten abrufen und somit besteht auch an den Anschlüssen die Sicherheitslücke (selbst falls eine alte o2-Box angeschlossen ist und diese sich die VoIP-Zugangsdaten über andere Mechanismen besorgt hat).
Ein weiterer Vorteil der Fritzbox 7490 ist das Gastnetz, das über LAN und WLAN verfügbar ist und in das alle Besucher gehören. Das sollte noch besser sein als den PC abzusichern, denn ein Angreifer kommt i.d.R. mit seinen eigenen Geräten. Ich setze dabei allerdings voraus, das der Gast keine Autokonfigurationsdaten abrufen kann. Prüfen kann ich das nicht.
Übrigens - den Hack braucht man an schlecht gesicherten Fritzboxen nicht. Da wird, sofern der Zugang zur Fritzbox möglich ist, die Konfiguration als Datei ausgelesen, dekodiert und mißbraucht. Also auch den Systemzugang zur Fritzbox gut sichern!
Der Gastzugang der Fritzbox schützt leider nur, wenn man im Gastzugang HTTPS-Verbindungen grundsätzlich blockiert. Das macht man aber in der Regel nicht, weil sich Gäste dann auf vielen Internetseiten nicht mehr einloggen können (oder die Kennwörter unverschlüsselt gesendet werden müssten).
Deshalb ist das Gastzugang kein ausreichender Schutz.
Das mit den ungesicherten Fritzboxen ist ein guter Punkt, den sollte ich noch ergänzen. In aktuellen Firmwares ist es mangels Telnet-Zugang aber ziemlich schwierig geworden darüber die Passwörter auszulesen.
Reicht es das Kennwort für den Zugriff auf das Webinterface der Fritzbox zu setzen?
Wobei das Kennwort beim Einloggen in die Fritzbox unverschlüsselt übertragen wird, also auch nicht optimal.
Wer Zugang zur Box bekommt, kann die Sicherungsdatei erstellen, mitnehmen, in FritzOS 6.5 einspielen, dekodieren - voila ...
Da braucht man weder den Hack, noch Telnet. Daher muß eine Risikoanalyse auch andere Angriffsszenarien beinhalten.
Stimmt!
Nur muss er erst mal den Zugriff haben von außen.
Leider sind ja die Schwachstellen bei derAutokonfig schon lt. Artikel seit Jahren bekannt, Die Veröffentlichung des Artikels wurde um fast 1 Jahr heraus gezögert.
O2 ist damit sicher nicht der einzige Provider den es treffen könnte. Ich denke mal die gesamte Telefonica- Gruppe (darunter auch 1&1) könnte betroffen sein.
WPS und TR.069 sind sicherheitstechnisch ein Graus! Das ist bekannt.
Dabei ist die Lücke gegenüber Außentäter gefixt und daher um >90% in der Eintrittswahrscheinlichkeit reduziert.
Innentäter sind immer ein großes Problem und nur der kann von hintenrum noch da ran. Dafür gibt es aber auch bewährte Angriffs-Konzepte, wie von nemesis03 mit Trojanern etc. bereits angemerkt. Aber auch dann ist die Möglichkeit einer Ausnutzung reduziert, da eine nomadische Nutzung nicht möglich ist. Ein Angreifer aus China oder Russland wird ohne O2-Netz die Daten gar nicht ausnutzen können. Und wer die VoIP-Daten im O2-Netz mißbraucht muß mit einer Entdeckung im O2-Netz(IP-Adresse, lokation) und Strafverfolgung rechnen.
1&1 gehört aber nicht zu Telefonica. Die nutzen nur deren Leitungen.
Bei manchen VoIP-Anschlüssen ist die nomadische Nutzung möglich, bei anderen nicht. Ob die nomadische Nutzung auch im Ausland möglich wäre, habe ich noch nicht geprüft.
Aber auch bei Anschlüssen ohne nomadische Nutzung könnte ein Virus/Trojaner aus dem Heimnetz heraus Telefonieverbindungen herstellen und damit Kosten verursachen.
Wobei das (leider) ein Punkt ist, bei dem die Fritzboxen eher anfällig sind wegen Sip-Registrar u.a.m.
Hier VoiP-Verbindungen über einen PC via Trojaner und über Router zu führen ist eher abenteuerlich.
Also an meinem Anschluss kann ich problemlos vom PC aus (z.B. mit dem SIP-Client "Phoner") nach draußen telefonieren, auch wenn die ausgehende Rufnummer in der Fritzbox registriert ist.
Das wollte ich auch nicht in Frage stellen
Wenn jedoch kein SIP-Client am PC eingerichtet ist, wird ein Trojaner es schwer haben auf eine VoIP-Nr. im Router zuzugreifen. Und selbst einrichten ohne Zugangsdaten ist auch nicht so einfach. Bei dem Fritzbox.Angriff mußten die Angreifer auch erst mal auf die Box kommen und ein SIP-Registrar mit Anmeldung aus Russland oder China ist natürlich viel schicker.
Vielleicht hatte ich mich missverständlich ausgedrückt. Phoner spricht direkt mit dem o2-Telefonieserver und nutzt nicht die in der Fritzbox registrierte Rufnummer. Die Tatsache, dass die Rufnummer gleichzeitig in der Fritzbox registriert ist hindert Phoner also nicht daran mit dem o2-Telefonieserver zu kommunizieren.
Ich dachte da an das Angriffsszenario, dass der Virus/Trojaner sich zuerst die VoIP-Daten besorgt (entweder aus Fritzbox ausliest oder vom o2-Autokonfigurationsserver abruft) und dann selber eine Verbindung zum o2-Telefonieserver herstellt und eine Nummer anruft.
Ich denke es sollte nicht schwer sein ein basales SIP-Protokoll in einen Virus/Trojaner einzubauen. Es geht ja nicht um verständliche Sprache, sondern nur darum, dass eine Verbindung aufgebaut und eine Zeit lang gehalten wird.
Interessante Überlegung ...
Ist schon etwas länger her mit meinen TR.069-Versuchen, aber ich meine mich zu erinnern, das das Protokoll nur aus dem ersten Modemrouter an DSL funktioniert. TR.069 aus einem Gerät hinter dem ersten Router zu initieren ist mir seinerzeit nicht gelungen. Vermute ähnliches Problem wie mit Port 5060 und SIP. Da wird man schon sehr gewitzt sein müssen um an die Daten zu kommen. Und das bei den komischen Homeboxen
Da bekommen die Angreifer vermutlich erst mal einen Herzkasper, bevor die an die Daten kommen ...
Testaufbau seinerzeit: 7270/O2 an DSL-Modem = keine TR069 Daten über LAN1
Kann natürlich auch an der Fritz-FW liegen
Nachtrag: Heinrichs hat sich einen eigenen TR.069-Agenten gebaut. Der wird vermutlich auch hinter einem anderen Modem/Router noch funktionieren. Und klar, wenn der Trojaner so eine TR.069-Funktion mitführt ... au backe.
OT @nemesis03 @VoIP-Droide Zwecks SipGate ich würde da gerne mal paar Infos haben, da ich mir gerne eine 2. Nummer fürs Fax zulegen würde, aber da bei denen nicht durch sehe.
Ich glaube das wäre hier zu Off-Topic. Mach mal ein neues Thema auf und erwähne mich dort.
Stimmt, passt nicht zum Thema und SG kann man bei Fax vergessen