Neuigkeiten

Interne Hintergrundinformationen zum Telefonmissbrauch über eine FRITZ!Box

Das ist ein Leserbeitrag. Inhaltlich verantwortlich ist der jeweilige Autor.

avm_fritzbox_fon_wlan_7270_02

Eine FRITZ!Box – Bild: AVM

Über das Thema Telefonmissbrauch über eine FRITZ!Box habe ich hier im Blog und anderweitig im Netz bereits einiges gelesen und möchte euch ein paar interne Hintergrundinformationen zum Thema zukommen lassen. Diese sind meines Erachtens teilweise recht pikant und sollten als Ergänzung zur Kundeninfo gesehen werden. Die Ausmaße der Probleme sind immens, nicht umsonst ist die Webseite von AVM nur schwer erreichbar.

Ihr bekommt nachfolgend Informationen zu lesen, die ich verifizieren kann, aber leider aus Selbstschutz nicht viel mehr zu einer Quelle sagen werde. Ich arbeite bei einem größeren Internetdienstanbieter in Deutschland und habe aus diesem Grund darauf Zugriff. Diese Informationen dürften meines Wissens nach alle größeren und kleineren Internetdienstanbieter erhalten haben. Dies ist auch nötig, denn nach aktuellem Stand sind eine nicht unerhebliche Zahl an Kunden betroffen.

In der ersten Informationen hat AVM noch einen Bezug zum kürzlich bekannt gewordenen Datenskandal hergestellt. Dies vermittelt den Eindruck, dass die FRITZ!Box an sich sicher sei und man nur mit gültigem Zugang Schaden anrichten kann. Auch wenn noch nicht alle Untersuchungen abgeschlossen sind, kann aktuell nicht eindeutig ausgeschlossen werden, dass der Fehler auf Seiten von AVM liegt. An vielen Ecken hört man intern aktuell etwas von einer Sicherheitslücke bei AVM (nicht verifiziert).

Es wurden unter anderem von Kunden mit festen IP-Adresse VoIP Zugangsdaten aus der FRITZ!Box ausgelesen, um diese dann außerhalb der FRITZ!Box bei einem x-beliebigen Telefondienst zu nutzen und kostenpflichtige Anrufe ins Ausland zu tätigen. Die Fernwartung bzw. der Fernzugriff dürfte dies eigentlich gar nicht ermöglichen, da die VoIP-Passwörter nicht im Klartext vorliegen.

AVM bestätigt dies dahingehend, dass man solch ein Szenario nicht ausschließt:

Bei Betrachtung des Worst Case Szenarios halten wir das Auslesen der Gerätekonfiguration derzeit für nicht ausschließbar, um erbeutete SIP Credentials direkt zum Aufbau von Gesprächen unabhängig von der FRITZ!Box zu nutzen.

Nachfolgend die Informationen von AVM. Ich gebe diese ungefiltert wieder, habe allerdings einige wenige Stellen zum Quellenschutz gekürzt. Stand der Informationen ist der 06. Februar 2014.

1. Vorbemerkung

1.) In einem ersten Schreiben haben wir informiert über Telefonie Missbrauchsfälle in Zusammenhang mit der FRITZ!Box. Ausgehend von den aktuellen und noch nicht abgeschlossenen Untersuchungen über die von einer kriminellen Gruppe ausgeführten Angriffe haben wir uns entschieden folgende Warnung öffentlich verfügbar zu machen:

Der genaue Inhalt ist in diesem Beitrag zu finden.

2. Aktueller Stand der Empfehlungen

2.) Nach aktueller Kenntnis verläuft dieser Angriff in mehreren Phasen mit unterschiedlich gewähltem Zeitversatz. Zur Zeit ist die Angriffstruktur noch in Untersuchung. Im Rahmen der Untersuchung arbeiten wir mit externen Sachverständigen zusammen. Um jedoch dieser aktuellen Angriffswelle Widerstand entgegen zu setzen, erlauben wir uns Sie höflichst zu bitten, folgende Maßnahmen zu eruieren und ggf. umzusetzen:

2.1 Missbräuchliche Telefonate unterbinden

  • Zielnummern außerhalb der EU und der USA auf eine Ansage umleiten; die Ansage würde den Kern des Angriffs in Form kostenpflichtiger Telefonate außer Kraft setzen
  • die Einrichtung von Zielsperren und Usersperren kann das Missbrauchsaufkommen reduzieren; eine Liste uns bekannter bei diesen Angriffen missbräuchlich genutzten Zielrufnummern finden sie nachfolgend – ohne Anspruch auf Vollständigkeit:
  • ungewöhnliches Callaufkommen mehrfach hintereinander, parallele Calls, schnelle Abfolge der Calls wurden bisher nur teilweise beobachtet, sind aber sicher bei Weiterentwicklung des Problems ein denkbares, zu erkennendes und zu unterbindendes Muster

2.2 Weitere Angriffe unterbinden

  • auffällige Quelladressen, die Portscans durchführen oder sich auf verschiedenen IP-Adressen zu Port 443 verbinden, für Zugriffe auf Port 443 sperren. Siehe Tabelle im Anhang.
  • ein Schließen des Fernzugriffsport 443 auf den FRITZ!Box-Geräten, die von Ihrem ACS verwaltet werden, unterbindet nach aktueller Kenntnis die zweite Phase des Angriffs. Der Parameter lautet „InternetGatewayDevice.UserInterface.RemoteAccess.Enable“ und muss dafür auf den Wert „0“ gesetzt werden
  • wird die FRITZ!Box per TR-069 gemanaged, kann per TR-104 unter „.VoiceService.{i}.PhyInterface.{i}.X_AVM-DE_SIPClientRegistration_from_Internet“ ausgelesen werden, ob ggf. eine SIP-Registrierung aus dem Internet eingerichtet ist; auf diesen Parameter kann eine aktive Notification eingerichtet werden, so dass der ACS benachrichtigt wird, sobald der Wert geändert wird; dies könnte zur momentanen Zeit ein wichtiges Indiz dafür sein, dass ein Kunde von dem Angriff betroffen ist/gerade der Angriff gestartet wird
  • ein regelmäßiger Wechsel der öffentlichen IP-Adresse innerhalb eines Tages (< 24 h) scheint weiterhin die zweite Phase des Angriffs außer Kraft zu setzen; statische oder quasi-statische öffentliche IP-Adressen sind zu vermeiden
  • prüfen Sie Ihr Netz auf bestehende oder neu geschaltete Rufumleitungen zu potenziell kritischen Zielrufnummern

Es muss davon ausgegangen werden, dass die empfohlene Sperre des Ports 443 nicht von allen Kunden unmittelbar befolgt wird. Deshalb sind aus unserer Sicht die netzseitigen Maßnahmen sehr wichtig und wir bitten Sie um Eruierung und ggf. Umsetzung.

Bei Betrachtung des Worst Case Szenarios halten wir das Auslesen der Gerätekonfiguration derzeit für nicht ausschließbar, um erbeutete SIP Credentials direkt zum Aufbau von Gesprächen unabhängig von der FRITZ!Box zu nutzen. Sofern Ihr Telefoniedienst eine Registrierung von User Agents außerhalb Ihres Zugangsnetzes zulässt sollte ein solcher Missbrauch über geographische Eingrenzung der registrierenden IP Adresse unterbunden werden; auch muss in diesem Fall eine Neuvergabe der SIP Credentials (Passwörter) erwogen werden.

Fragen und Antworten

Frage: Wie kann sich der Anwender vor einem Angriff von außen schützen? 

Um einen Zugriff aus der Ferne durch einen Angreifer zu verhindern, sollten zwingend sichere Kennwörter für den Zugriff auf die FRITZ!Box verwendet werden. Ist ein Zugriff aus der Ferne eingerichtet, können die Kennwörter für den bzw. die Benutzer in der FRITZ!Box-Oberfläche unter „System / FRITZ!Box-Benutzer“ geändert werden. Hier ist dringend angeraten, andere Kennwörter zu verwenden als für weitere Dienste wie beispielsweise die Zugangsdaten zu E-Mail-Adressen. Darüber hinaus sollten Kennwörter ausreichend sicher hinsichtlich Länge und Inhalt gewählt werden.

Um bis auf Weiteres den Fernzugriff komplett zu unterbinden, kann in der FRITZ!Box-Oberfläche unter „Internet / Freigaben / FRITZ!Box-Dienste“ die Option „Internetzugriff auf die FRITZ!Box über HTTPS aktiviert“ abgeschaltet werden.

Frage: Kann nachvollzogen werden, ob ein Angreifer auf der FRITZ!Box aktiv war? 

Ein Hinweis für einen Angriff durch Fremde sind häufige Anrufe ins Ausland, die oft in der Nacht geführt werden. Diese sind in der Anrufliste der FRITZ!Box zu erkennen. Hat ein Telefonmissbrauch im Zusammenspiel mit einer FRITZ!Box stattgefunden, sollten möglichst ohne weitere Veränderungen sogenannte Supportdaten gesichert werden. Diese lassen sich über die Webseite http://fritz.box/support.lua erstellen und erlauben es der AVM, wertvolle Anhaltspunkte über den Angriff zu ermitteln. Die Supportdaten liefern wesentliche Informationen, aber enthalten weder Benutzernamen oder Kennwörter. Dennoch sollte eine Weitergabe an AVM ausschließlich nach Zustimmung durch den Anwender erfolgen.

Ein Indiz für einen Angriff ist ein in der FRITZ!Box-Oberfläche unter „Telefonie / Telefoniegeräte“ hinzugefügtes IP-Telefon, das weder vom Anwender direkt noch von einer genutzten App (z.B. FRITZ!App Fon) angelegt wurde. Dieses wurde ggf. vom Angreifer für den Aufbau ausgehender Telefonate genutzt.

Frage: Erfolgen Angriffe direkt oder über Rufumleitungen? 

Neben direkt aufgebauten Gesprächen ist es möglich, dass für einen Angriff nicht Rufe direkt aufgebaut werden, sondern über Rufumleitungen erfolgen. Ruft der Angreifer dann die entsprechende Rufnummer an, werden diese von der FRITZ!Box an die Zielrufnummer weitergeleitet. Auf Netzseite erscheinen solche Anrufe wie normale Anrufe. Werden Rufumleitungen im Netz aktiviert, werden diese direkt im Netz umgesetzt uns sind gar nicht mehr über die FRITZ!Box nachvollziehbar. Insofern ist es wichtig, neben den normal ausgeführten Anrufen, auch sensibel für etwaige netzseitige Rufumleitungen zu sein, die ggf. missbräuchlich genutzt werden.

Frage: Können Rufsperren vor einem Angreifer schützen? 

Um missbräuchliche Rufe zu betreffenden Zielrufnummerngassen zu verhindern, ist eine netzseitige Unterbindung wesentlich, wobei sowohl direkte Anrufe als auch Rufumleitungen zu diesen Zielen zu berücksichtigen sind. Lokale Rufsperren beispielsweise in der FRITZ!Box bieten keine ausreichende Sicherheit, weil der Angreifer die Einstellungen ggf. verändern kann.

Frage: Besteht ein Zusammenhang mit dem MyFRITZ!-Dienst? 

Nach unserer Sichtung der Fakten nein. Es sind Angriffe auf Geräte erfolgt, auf denen der MyFRITZ!-Dienst zu keiner Zeit genutzt wurde. Um eine FRITZ!Box beim MyFRITZ!-Dienst anzumelden, vergibt der Anwender separat Anmeldedaten nur für den MyFRITZ!-Dienst. Dem MyFRITZ!-Dienst hat zu keiner Zeit die Zugangsdaten für den Fernzugang auf eine FRITZ!Box bekannt. Um auf die FRITZ!Box aus der Ferne zuzugreifen, sind neben der gerade gültigen öffentlichen IP-Adresse die Zugangsdaten für den Fernzugang erforderlich, also ein FRITZ!Box-Benutzer (i.d.R. der Benutzername), sowie das zugehörige Kennwort. Der MyFRITZ!-Dienst ist davon gänzlich entkoppelt und bietet ausschließlich einen Server-Dienst, um die ggf. wechselnde öffentliche IP-Adresse der FRITZ!Box vereinfacht über eine Subdomain unter myfritz.net zu ermitteln, ähnlich einem DynDNS-Dienst.

Frage: Werden die missbräuchlichen Telefonate über VoIP oder TDM (ISDN/Analog) durchgeführt? 

Ausgehende Gespräche können sowohl über VoIP als auch über TDM (ISDN/Analog) aufgebaut werden. VoIP ist somit keine notwendige Bedingung.

  • Anhang 2 missbräuchlich genutzte Zielrufnummern [gekürzt]
  • Anhang 3 auffällige Quelladressen für Angriffe [gekürzt]

Sollte es weitere Informationen geben, werde ich diese, wenn möglich, ebenso veröffentlichen. Ihr könnt euch sicher vorstellen, dass AVM und einigen Partnern daran gelegen ist, dass nicht alle Infos ans Licht kommen, von daher muss ich vorsichtig sein. Ich hoffe ich konnte etwas mehr Licht ins Dunkel bringen.

Das ist ein Leserbeitrag. Inhaltlich verantwortlich ist der jeweilige Autor.

Produktempfehlung

Hinterlasse deine Meinung