Gelöst

Sicherheitslücke o2 box 6441


Hallo

 

 laut https://www.giga.de/news/telekom-vodafone-und-o2-router-im-visier-von-hackern-so-schuetzt-ihr-euch/?f=amp gibt es eine Sicherheitslücke. Wann wird diese mit einem Firmware Update geschlossen?

 

 Viele Grüße

 

 Herki

icon

Lösung von o2_Lars 15 September 2021, 09:03

Hallo allerseits,

bitte entschuldigt die späte Antwort, der Beitrag scheint untergegangen zu sein :-/

Die Sicherheit der von uns zur Verfügung gestellten Router hat oberste Priorität, um potentiellen Schaden von Nutzern fern zu halten. 

Diese Updates werden  vom Router automatisch bezogen, sobald es zur Verfügung steht.

Auch in diesem Fall sind der Hersteller und wir nach Bekanntwerden dieser potentiell ausnutzbaren Sicherheitslücke in den Kontakt gegangen, um so schnell wie möglich Abhilfe schaffen zu können.

Eine aktualisierte Firmware steht schon einige Zeit zur Verfügung und jede Homebox 2 (Modell 6441) sollte sich dies inzwischen automatisch herunter geladen und installiert haben.

Gruß,

Lars

Zur Antwort springen

17 Antworten

Moin,

welche Software Version hat denn deine 6441?

Wenn man den Artikel ließt, ist ja nur eine Version betroffen.

Wenn man die HomeBox gemietet hat, bekommt diese auch Software Updates.

Ich habe genau diese Firmware auf meinem Router. Da die Firmware von o2 verteilt wird und ich Manuel gar keine Option eine Firmware-Updates habe frage ich hier nach. Ich denke, dass es alle Kunden von o2 betrifft. 

Benutzerebene 7

Ich habe genau diese Firmware auf meinem Router. Da die Firmware von o2 verteilt wird und ich Manuel gar keine Option eine Firmware-Updates habe frage ich hier nach. Ich denke, dass es alle Kunden von o2 betrifft. 

Betrifft es nicht.

Ich denke, dass es alle Kunden von o2 betrifft. 

Nach der Mengenlehre würde ich nein sagen. Zumindest ich bin nicht betroffen.

Wenn überhaupt sind alle Kunden mit einer 6441 betroffen.

Und wenn ich das richtig sehe muss der Angreifer zugriff auf das Web-Interface bekommen.

Na und wirklich kritische Informationen gibt es in der HomeBox nicht so wirklich.

 

Benutzerebene 7

Habe mir den Originalartikel durchgelesen und auch den Tweet (Video). Der Zugriff erfolgt über Telnet. Damit wird über die Lücke angegriffen.

@matrix3937Na nicht ganz…

In dem Artikel sagt er das er das mit Telnet gefunden hat, nachdem er die UART angezapft hat.

Also wenn die Haustür offen ist und ein Kabel aus dem Router hängt nervös werden...

In the following sections we will look at how I took the Buffalo devices apart, did a not-so-great solder job, and used a shell offered up on UART to help find a couple of bugs that could let users bypass authentication to the web interface and enable a root BusyBox shell on telnet.

Der eigentliche Fehler ist dann das Web Interface

@Herki Na da ist dann endlich eine Fritzbox 75x0 fällig,

Ich habe auch eine Homebox 6441 mit dieser Firmware, 1.01.36. Normalerweise bekommt sie Firmware-Updates automatisch, daher vermute ich, dass o2 noch keins zur Verfügung gestellt hat, obwohl sie am 21. April über die kritische Sicherheitslücke informiert wurden. 

In den obigen Antworten sind einige Fehlinformationen enthalten. Die Sicherheitslücke erfordert absolut keinen physischen Zugang oder Telnet über die UART. Es handelt sich um einen Fernangriff über das Internet. Wenn sich ein Angreifer Zugang zum Router verschafft, kann er potenziell den Internetverkehr mit "Man-in-the-Middle"-Angriffen abfangen sowie auf das lokale Netzwerk zugreifen und die darin befindlichen Computer direkt angreifen. Es hat bereits Vorfälle gegeben, bei denen andere Router mit demselben Problem übernommen und in "Botnetzen" für DDOS-Angriffe verwendet wurden. Sie wird zu Recht als kritische Sicherheitslücke bezeichnet.

Soweit ich weiß, muss ein Angreifer vom Internet aus auf die Web-Login-Seite zugreifen. Standardmäßig ist dies im Router deaktiviert. Man kann dies überprüfen, indem man sich unter http://o2.box beim Router anmeldet und unter System > Fernwartung nachschaut. Wenn sie deaktiviert ist, ist der Router meines Erachtens nicht angreifbar. Aber ich würde gerne eine Antwort von o2 hören...
 

Benutzerebene 7

Ihr wisst aber schon, das auf den Routern im Hintergrund Linux läuft? 

@matrix3937 Ansonsten wäre die Installation von Busybox nicht möglich gewesen.

Mal abgesehen davon das vermutlich 90% aller Router mit Linux laufen.

@Würfelhase Nö das ist nix falsch…

Der gute Mann hat sich via UART Schnittstelle zugriff auf das Filesystem verschafft und dann per u.a. Via Telnet  den Code der „Webseite“ analysiert.

Für die Eigentliche Attacke braucht man dann Zugriff auf das Webend System.

Ich meinte, dass es falsch ist, dass Telnet über den UART notwendig ist. schluej hat recht, dass, wie ich schon sagte, der Angriff über das Webinterface erfolgt, so dass sich jemand ohne das Passwort authentifizieren kann (CVE-2021-20090). Es gibt jedoch einen zweiten Teil, bei dem ein authentifizierter Benutzer bei einigen Routern vollen Zugriff auf den Router erlangen kann, indem er die Konfigurationsdatei ändert (CVE-2021-20091). Dadurch kann er sich über Telnet einen "Root"-Zugang verschaffen, was eine sehr ernste Sicherheitslücke darstellt. Es ist nicht klar, ob die Homebox 6441 für eine solche Eskalation anfällig ist. Siehe: https://www.tenable.com/security/research/tra-2021-13

Benutzerebene 7

@Würfelhase Genau. Und deshalb hatte AVM bei den Fritz!Boxen bereits vor längerer Zeit diese Möglichkeit abgeschaltet. So lässt sich z.B: telnet nicht mehr aktivieren. 

Soweit ich weiß, ist die Homebox von Zyxel.

@matrix3937 man hat hier für die Attacke den Service Port auf der PCB verwendet und dann alles was man braucht nachgeladen.

Da kannst Du nichts abschalten. Deshalb ja die UART Schnittstelle. Und ich fürchte AVM hat Telnet auf der Eth: abgeschaltet damit die Leute nicht mehr soviel Einstellungen vornehmen die AVM nicht will. Und man so auch an zB TR069 Information kam die nicht an jeden sollten.

Und Telnet hat man bei der FRITZ!Box auch nicht zufällig aktiviert.

Benutzerebene 7
Abzeichen

Soweit ich weiß, ist die Homebox von Zyxel.

o2 Homebox 6441 (um die geht es hier): Arcadyan

o2 Homebox 6741: Askey
o2 Homebox 6742: Askey
o2 Homebox 6641: Zyxel
o2 Homebox 3232: Sphairon

Von den von Tenable genannten Sicherheitslücken scheinen ausschließlich von Arcadyan hergestellte Geräte betroffen zu sein, die unter verschiedenen Markennamen vertrieben worden sind.

@schluej ich verstehe nicht, worauf Sie hinauswollen. Es gab keinen "Attake" über den UART-Port. Es ist Standard, dass man über den seriellen Port auf einen Router zugreifen kann. Der Forscher hat dies genutzt, um den Buffalo-Router zu untersuchen, seine Firmware zu dekompilieren und zu bewerten, ob er irgendwelche Sicherheitslücke aufweist.

Er hat mehrere gefunden. Die erste ermöglicht es, die Authentifizierung der Remote-Webschnittstelle zu umgehen. Diese Schwachstelle wurde auch für die Homebox 6441 bestätigt. Eine andere ermöglicht es, nach Umgehung der Authentifizierung durch Injektion der Konfigurationsdatei einen remote Telnet-Port über Internet/Ethernet zu aktivieren und auf eine Root-Shell zuzugreifen. Dies ist etwas völlig anderes als der Zugriff auf die Shell über den UART, der für den Angriff nicht erforderlich ist. Dies wurde bereits aktiv von Angreifern aus China ausgenutzt, um Router zu übernehmen und Mirai-Botnet-Malware auf ihnen zu installieren. Siehe: https://blogs.juniper.net/en-us/security/freshly-disclosed-vulnerability-cve-2021-20090-exploited-in-the-wild

Ich denke, @matrix3937 will sagen, dass einige Router gar keine remote Telnet-Ports zulassen. Wenn dies der Fall wäre, könnte der gesamte Attake nicht durchgeführt werden.

Es ist derzeit nicht bekannt, ob die Homebox 6441 die Sicherheitslücke aufweist, die Root-Zugriff über Remote-Telnet ermöglicht, oder eine ähnliche, aber angesichts der Ähnlichkeit der Arcadyan-Firmare ist es nicht unwahrscheinlich. Tenable hat andere Forscher dazu aufgerufen, die betroffenen Modelle zu untersuchen.

@Würfelhase das habe ich vor 4 Tagen geschrieben (ok etwas kürzer), aber schön das Du das auch gefunden hast.

Um die HomeBox zu knacken muss der Angreifer zugriff auf das Web Interface bekommen.

Das dürfte ohne Hilfe des User schwierig werden. Die Frage ist wie wahrscheinlich das ist.

 

Der Angreifer muss zugriff auf das Web Interface bekommen, und danach Telnet. Es ist vielleicht fraglich, wie sinnvoll es für o2 ist, die Aktivierung von Remote-Telnet überhaupt zuzulassen.

Vielleicht ist es dir klar, aber einiges von dem, was du geschrieben hast, könnte (fehl)interpretiert werden, dass die Sicherheitslücke nur den Zugriff auf die Weboberfläche erlaubt, nicht auf eine Root-Shell, und dass das kein so großes Problem ist: "Auch wenn die Haustür offen ist und ein Kabel aus dem Router nervös wird...", "Na und wirklich kritische Informationen gibt es in der HomeBox nicht so wirklich." usw.

Aber ja, wie gesagt, der Zugriff auf die Weboberfläche ist zuerst erforderlich. Und soweit ich weiß, geht das nur, wenn der Benutzer die Einstellung im Router "System > Fernwartung > Gerätekonfiguration über WAN erlauben" aktiviert. Das machen nur wenige Leute. Trotzdem würde ich mich besser fühlen, wenn das von o2 bestätigt würde - oder eine aktualisierte Firmware verfügbar wäre.

Benutzerebene 7

Hallo allerseits,

bitte entschuldigt die späte Antwort, der Beitrag scheint untergegangen zu sein :-/

Die Sicherheit der von uns zur Verfügung gestellten Router hat oberste Priorität, um potentiellen Schaden von Nutzern fern zu halten. 

Diese Updates werden  vom Router automatisch bezogen, sobald es zur Verfügung steht.

Auch in diesem Fall sind der Hersteller und wir nach Bekanntwerden dieser potentiell ausnutzbaren Sicherheitslücke in den Kontakt gegangen, um so schnell wie möglich Abhilfe schaffen zu können.

Eine aktualisierte Firmware steht schon einige Zeit zur Verfügung und jede Homebox 2 (Modell 6441) sollte sich dies inzwischen automatisch herunter geladen und installiert haben.

Gruß,

Lars

Deine Antwort