Die Modemrouter von Vodafone (ehem. Kabel Deutschland) stehen wohl in Millionen Haushalten. Nicht jeder hat sich eine FRITZ!Box gemietet oder gekauft, sondern nutzt lieber die Alternativen des Anbieters. Wer nur ein wenig Internet und WLAN haben möchte, dem reichen die kleinen, schwarzen Kästen des Kabelanbieters aus. Doch in Puncto Sicherheit versagen diese wohl komplett.
Der YouTuber “UsefulVid” hat ein interessantes Video hochgeladen, indem er die Firewall in Verbindung mit Portfreigaben testet. Er nutzt dabei das Model Compal CH7466CE mit der Firmware-Version 4.50.19.12 . Die Geräte werden kaum mit Updates versehen, zumindest bieten diese nur wenig Komfort und, wie jetzt bekannt, auch keine Sicherheit.
(15.05.2018) Statement/Lösung:
Der Fehler tritt auf, wenn eine Portweiterleitungsregel unter Verwendung der vorherigen Firmware 4.50.18.16 erstellt wurde und dann ein Firmware-Update auf die aktuelle Version 4.50.19.12 durchgeführt wird. Unter diesen Umständen zeigt sich das bekannte Fehlerbild: Die Portweiterleitungsregel wird in der GUI nicht mehr angezeigt, bleibt aber weiterhin aktiviert. Durch das Zurücksetzen des Gerätes in die Werkseinstellungen werden alle benutzerdefinierten Portweiterleitungsregeln gelöscht und somit der Fehler behoben. Durch weitere Tests konnte sichergestellt werden, dass Portweiterleitungsregeln, die unter der FW 4.50.19.12 erstellt wurden, bei einem FW-Update auf eine nachfolgende Version erhalten bleiben und in der GUI angezeigt werden.
Die Analyse durch den Hersteller hat ergeben, dass sich der Fehler zwischen den Firmware Versionen 4.50.18.16 und 4.50.19.12 eingeschlichen hat, als ein erkanntes Problem mit UPnP-generierten Portweiterleitungen auf derselben GUI-Seite behoben wurde. Durch die Änderung kam es zu dem bekannten Fehler, der leider in der Folge nicht entdeckt wurde. Als Maßnahme zur Qualitätssicherung wird daher ein entsprechender Testfall bei zukünftigen Abnahmetests durchgeführt werden. Danke nochmal vielmals an UsefulVid!
(04.05.2018) Vodafone meldet sich:
Es gibt es Statement von Vodafone:
„Sicherheit und Datenschutz haben bei Vodafone höchste Priorität. Wir bemühen uns, unsere Sicherheitsstandards stets den aktuellen Bedürfnissen anzupassen, und haben daher unverzüglich eine in den Medien genannte Schwachstelle bei Kabel-Modems überprüft. Die genaue Analyse hat ergeben, dass in der Grundkonfiguration der Kabel-Modems kein Port erreichbar bzw. offen ist. Wir befinden uns bereits im direkten Austausch mit dem genannten Kunden, um das genaue Szenario zu ermitteln und weitere Analysen durchzuführen.“
Vodafone bietet mehrere Geräte an. Man kann ein kostenloses Modem erhalten, welches dann ausschließlich den Internetzugang per LAN bereitstellt, für 2€ eine WLAN Option dazubuchen oder für 5€ im Monat eine FRITZ!Box 6490 erwerben. Grundsätzlich hören sich erst einmal alle Optionen relativ gut an. Vorweg: Die FRITZ!Box hat keine Sicherheitslücke.
Die unterschiedlichen Modelle werden auch gerne “China-Kracher” genannt, da es keine hochwertigen Router oder Modems sind, sondern einfache Geräte für den Internetzugang, ohne Schnick-Schnack, ohne Funktionsvielfalt, sodass der Nutzer auch bloß nichts falsch machen kann. Positiv ist, dass man eigene Ports (z.B. für Online-Spiele) freigeben kann. Doch genau diese Portfreigabe ist gar nicht nötig, denn auch ohne eine explizite Freigabe, lässt sich ein Port ansprechen.
In dem Video hat der YouTuber ein Smartphone mit LTE Verbindung und das oben genannte Modell vor sich. Er ist also praktisch außerhalb des Heimnetz unterwegs und möchte auf die Box zugreifen. Er zeigt und beteuert mehrmals, dass die genannten Schritte zeitgleich ausgeführt werden und es sich nicht um einen Fake handelt.
Er möchte mit seinem Smartphone auf Port 1194 zugreifen, welcher keine Freigabe im Router hat. Dieser Port lässt sich aber problemlos ansprechen. So können Personen über jegliche Ports auf das Heimnetz zugreifen, es wäre ein Skandal, wenn das bekannt wird (paradox, ich weiß 
). Naja, anscheinend hat “UsefulVid” bereits Kontakt zu Vodafone aufgenommen, doch das Interesse war dermaßen gering, dass man davon ausgehen darf, dass hier nichts passiert.
Ob die Geräte dagegen gepatcht wurde (Video ist vom 25.04) oder ein Update in Zukunft sehen, bleibt fraglich. Auf alle Fälle soll dieser Beitrag den Misstand mal etwas größer machen, damit da auch jemand reagiert. Derweil wird FRITZ!OS 6.87 für die Mietbox 6490 von Vodafone verteilt, die erhöhte Sicherheit mitbringt – hier ist aber der Hersteller der Box sowie der “Fachhandels-Software” aus Berlin und somit in Deutschland ansässig. Wo die anderen Firmwares entwickelt werden, möchte ich gar nicht mutmaßen.
Ich freue mich, dass über das Video berichtet wird. Da mein Kanal ja fast unter Ausschluss der Öffentlichkeit stattfindet, finde ich es gut dass die Lücke jetzt ernst genommen wird.
Ich bin mittlerweile mit einem Security Menschen von Vodafone in Kontakt. Logs wollte man sich keine ziehen aber das Problem versuchen selbst nachzustellen (ich wüsste nicht wie das gehen sollte die Regel war bei mir ja einfach ohne zutun weg). Aber immerhin nimmt Vodafone das Problem jetzt ernst. Leider erst nach Veröffentlichung des Videos.
uPnP war schon seit Jahren immer problematisch. Da kann man die Firewall durchlöchern und damit das Sicherheitskonzept umgehen.
Zugangsanbieter geben den Kunden gern Geräte mit zweifelhafter (weil schlecht getesteter) Firmware aus China oder Taiwan.