Schwachstellen in der Box

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • Schwachstellen in der Box

      Hallo zusammen,

      ich habe heute aus reiner Neugier mal einen Schwachstellen-Scanner über das System laufen lassen. Dabei kamen einige schwerwiegende Schwachstellen zu Tage:

      Screenshot 2021-09-29 at 10.11.21.png

      Auf der Box sieht es so aus:

      OE-System: OpenVuplus 2.1
      Firmware-Version: VTi-Team Image 15.0.0 (2021-02-08-vti-master (9849f8edd))
      Kernel / Treiber: 4.1.20 / 20210407

      Gibt es eine Möglichkeit das diese Schwachstellen gefixt werden bzw. wie kann man das alles am besten Updaten?

      Viele Grüße!

    • Naja heute nimmt man den "assume breach" an. Also man geht davon aus, dass auch ohne direkten Internetzugriff Systeme im Netzwerk anfällig sind.
      Es reicht ja alleine das Malware auf einem Computer ist und durch Scans sich im Netzwerk auf der Box persistieren kann.
      Aus meiner Sicht müssen diese Tools geupdatet werden sonst holt man sich eine tickende Zeitbombe ins Haus.

    • Aufgrund der aktuellen Lage bei der Softwareentwicklung des VTi würde ich mal mutmaßen, dass sich da gar nichts tun wird. Außerdem, was soll uns die Schwachstellenanalyse denn wirklich sagen? Benutze deine Box und gut ist's.
      Greetings from Father Of Darkness

      Fragen gehören ins Forum; keine Beantwortung via PN!

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von hgdo ()

    • Was es dir sagt ist folgendes: Deine Haustür steht unverschlossen offen und jeder kann in dein Haus.
      Würdest du dann auch sagen "wohn doch einfach im Haus und gut ist". Würdest du beruhigt schlafen?
      Ich denke nicht ;)

      Also kommen wir lieber zum Thema zurück: Wenn es keine Möglichkeit des fixens gibt - kann man denn den Zugriff durch eine lokale Firewall auf der Box beschränken?

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von netspider ()

    • Naja, eher so...
      Die Haustür ist fest verriegelt. Schließt du dann jedesmal die Küchentür ab in der Wohnung? Wenn dein Computer mit Malware befallen ist, ist der Computer das Problem (die Haustür) und nicht die Box (Küchentür).

    • Ich bin da wirklich kein Experte, aber wenn das so schlimm wäre, was du da an Schwachstellen gefunden hast, würden doch hier hunderte ALARM schlagen, weil deren Box befallen ist und nicht mehr funktioniert.
      Außerdem, welcher Windows Virus soll sich auf ein Linux System verirren und dort Schaden anrichten?
      ---------------------------------------------------------------------------------------


      Anleitung für den SerienRecorder SerienRecorder Martins FHD SR-Skin

      Mediathekvieweb ----- SRF Mediathek

    • Nochmal: Diese Argument mit "macht keine Freigabe ins Netz".
      Heute kommen Angreifer nicht über die Perimeter-Firewall sondern über Malware von deinem PC auf Systeme in deinem Netzwerk.
      Gerade Systeme wie die Box werden kaum begutachtet wenn sie einmal laufen daher würde man nie merken wenn Daten abließen.

      Das Argument "Perimeter Firewall" gehört ins Jahr 2000.

      Es geht auch nicht um Viren sondern Angreifer die sich Zugriff auf das Netzwerk verschaffen über Malware. Die Systeme werden nicht kaputt gemacht sondern verwendet um unschöne Dinge zu tun. Das kann von Hosten von bestimmten Bildern gehen bis zu Angriffen von der Box auf andere Punkte im Internet.

      Jetzt warte ich nur noch auf "ich habe doch nix zu verbergen"....

      Leute mal ernsthaft: Gibt es jemanden der sich mit der Sicherheit der Boxen beschäftigt bzw. Tipps hat um die Sicherheit zu erhöhen?

    • Verkehrter Ansatz!

      Ich mach mein LAN nicht frei zugänglich und versuche dann, die Systeme einzeln abzusichern, sondern ich verhindere den Zugriff ins LAN!

      Ich lasse auch nicht die Autotüren offen und verklebe dann das Zündschloß

      Wenn du Angst davor hast, das Malware deine STB befällt, kümmere dich besser darum, dein Einfallstor (dich und deinen PC) abzusichern.


      Um die Sicherheit zu erhöhen gibt es 2 gute Maßnahmen:
      Die Box vom Netz nehmen
      Router ausschalten
      ACHTUNG!!!! Hier folgt eine Signatur:


      Die Benutzung der Suche ist NICHT verboten! D:

      "Hilfe!!!" ist kein sinnvoller Titel für einen neuen Thread, ebensowenig "VU+Zero" oder vergleichbares.

      Keine Hilfe ohne ausgefülltes Profil!
      Kein Netzwerksupport bei manueller IP-Adress-Vergabe :-)
      Kein Support bei portforwardings/ Portfreigaben

      Profil extra angepasst für die arme Emma, die sonst nichts im Leben hat :happy1:

    • Es ist in der Tat richtig, dass viele Services auf der Box veraltet sind und damit nicht mehr dem aktuellen Sicherheitsstandard entsprechen.
      Auch die Tatsache, dass auf der Box alles unter dem root-User läuft, ist nicht wirklich toll.
      Ein frisch installiertes Image gibt dem root-User kein Passwort und exportiert das Root-Filesystem per Samba...
      Das ist ganz objektiv gesehen für ein am Netzwerk hängendes Computer-System fragwürdig.

      Es handelt sich bei der Box aber um ein Embedded System, auf dem sich nur speziell auf die Box zugeschnittene Software installieren lässt. Einfach ein Linux-Paket installieren klappt nicht (und Windows-Kram sowieso nicht).
      Ob ein Hacker auf die Idee kommt, etwas für eine Enigma-Box zu basteln... da gibt es wohl größere und lohnendere Ziele.

      Es wird sich an der grundlegenden Architektur der Box auch sicherlich nichts ändern.
      Das muss man so nehmen, wie es ist, oder sich von Enigma-Boxen im Allgemeinen verabschieden.

    • Ich bin nun dazu übergegangen die Box zu isolieren. Ich lasse nur noch bestimmte DNS-Requests und Pakete von der Box zu.
      Eine segmentierung lässt sich bei solchen Produkten nur schwer erreichen, da man ggf. mit anderen Geräten darauf zugreifen möchte.

      Generell würde mich interessieren, warum in der Entwicklung sich so wenig tut.

    • Moin

      Also VTI baut soweit ich doch weiss deises System auf einem vorhandenen Kernel oder so auf, also VTI baut dochj kein neues Linux für unsere VU Boxen sondern macht daraus doch nur ein anfassbares System draus was ansprechend und funktional für uns ist. Habe mich vlt. ein wenig unklar ausgedrückt hoffe aber ihr wisst was ich meine.
      Andersherum, wegen der Schwachstellen, ich glaube A: ist VTI dan nicht der richtige Ansprechpartner und B: ist es doch so wie mit jedem System in deiem Netzwerk. Du hast einen Router mit Firewall der eigentlich fast alles managen kann, was für die meisten ausreicht. Dann hast du vlt. weitere Geräte im Netzwerk die du mit einem Vierenschutz beaufsichtigst, und andere Geräte wo du nix machen kannst. Wie wenn du hast einen Smart TV, die sind genauso unsicher, wie ich behaupte mal Alexa und wie die alle heissen, da kannst du auch nichts installieren um solche Schwachstellen zu schliesen. Eine hundertprozentige Sicherheit gibt es nicht. Im endefeckt geht es doch darum das der User der davor ist meistens das letzte Glied in der Kette ist, und selbst wenn der User sagt installiere das dann sind viele Schutzmaßnahmen auch wirkungslos.
      Dann zu dem Linuxsystem, da hast du einen Superuser den "Root" der ausreichende Rechte hat was am System zu machen. Was machst du mit deiner Box das es soweite Rechte braucht. So lange man nur vertrauensürdige Quellen, also Shops, Playstore und so weiter am Handy, Tablet oder TV nutzt ist doch soweit alels in Ordnung. Also warum solte es an der Linux Box anders sein, und mal erlich was machen wir damit ausser TV schauen, Radio hören EPG und Wetter, ein paar Picons, Senderlisten, um nur ein paar Dinge auf zu zählen. Da frage ich mich was soll da großartig passieren. ? Die VU ist doch hinter deiner Firewall. Und das man Ports öffnen muss um Senderlisten und Picons und so zu bekommen sind mir auch nicht bekannt. Das soll heissen die Gefahr ist doch mehr als gering das dort etwas passiert.
      mfg
      MAN HAT ES NICHT LEICHT, ABER LEICHT HAT ES EINEN....

    • Naichbindas schrieb:

      Andersherum, wegen der Schwachstellen, ich glaube A: ist VTI dan nicht der richtige Ansprechpartner
      Nö, das stimmt nicht. VTi baut ein System und stellt es als Image und Paketmanager zur Verfügung. Leider sind die Pakete alles aber selten aktuell.

      Dazu ist aber zu sagen: VTi ist kein kommerzielles Produkt, sondern ein privates Vergnügen. Insofern hast du keinen Anspruch darauf, dass sich da irgendwas bessert.

      Alles was du machen kannst ist: selber aktualisieren; einen Compiler und Tools findest du in der Database (dem Link in meinem Profil folgen). Das ist zugegeben nur etwas für diejenigen, die sich damit auskennen, aber es ist leider so wie es ist.

      Samba kannst du selber übersetzen und sicher konfigurieren, dropbear habe ich persönlich a) auch schon geupdated, aber b) durch die aktuelle OpenSSH ersetzt. Das ist alles kein Hexenwerk, aber von VTi-Seite leider alles andere als optimal gehandhabt.

      Und es bleibt das Statement: prinzipiell ist die Box offen wie ein Scheunentor, wenn man etwas tiefer gräbt. Weil aber Linux, sicher auch kein primäres Angriffsziel.
      Diskutiere nie mit einem Idioten. Er zieht dich auf sein Niveau runter und schlägt dich mit seiner Erfahrung.

    • Also mach doch einfach: mach den SSH Dienst zu!
      Root und User für die Box ein vernünftiges Passwort.

      Thema Samba - Einfach mal das Internet befragen ;) es gibt da einige Versionen die als nicht sicher eingestuft sind. (Wenn ich mich richtig erinnere)

      Die andere Geschichte wurde dir hier schon sehr gut erklärt.
      Fast alle Angriffe heute kommen vom inneren eines Netzwerks - sprich, Social Hacking und der USB Stick von einen Bekannten der dir keine Ahnung was für Daten geben möchte - ich kann dir einen Tipp geben und mal nach
      Spoiler anzeigen
      Linus Neumann
      zu suchen YouTube und co ;) wenn dich das Thema weiter interessiert er ist vom CCC

      Das BSI gibt auch täglich Schwachstellen zu Systemen bekannt ;)

      eine vernünftige Firewall ist natürlich für ein sicheres Netzwerk das A und O aber diese muss auch korrekt eingestellt sein!. Um es mit den Beispielen zu erklären - was bringt dir die beste Firewall wenn wichtige Ports offen sind oder du den Haustürschlüssel einfach stecken lässt ?!?

      Ich erlebe es immer wieder das sich Leute einen neuen Rechner kaufen und aus Unwissenheit mit Adminrechten im Netz surfen… da geht es schon los.

      Linux ist für Hacker auch nicht wirklich interessant, wenn man sich die gehackten Systeme auf der BSI Seite anschaut, ist auch klar wieviel ungesicherte Windows Kisten sind im Netz vertreten und wer nutzt Linux ?!?

      Da werden lieber Schwachstellen im MS Office ausgenutzt.
      Solo2 15.0.X
      Solo4K 15.0.X
      Duo4Kse 15.0.X

    • Naichbindas schrieb:

      Also VTI baut soweit ich doch weiss deises System auf einem vorhandenen Kernel oder so auf
      Es handelt sich hier um ein Mini-Linux für Embedded Systems mit den Busybox-Programmen.
      Dieses wurde dann für die von den Boxen verwendeten Architekturen Mipsel und ARM übersetzt.

      Das ist etwas ganz anderes als eine Linux-Distribution auf einem PC. Linux ist nicht Linux...
      Ein Malware-Programm, das auf einem Linux-PC läuft, läuft auf der Box nicht.

      Das Image besteht aber nicht nur aus dem Betriebssystemkern selbst, sondern auch den Programmen, die die verschiedenen Services implementieren, also z.B. Samba, FTP, SSH, Web-Server.

      Diese Komponenten werden vom Image-Ersteller zusammengestellt und damit das Image gebaut.
      Dass im Image veraltete Versionen dieser Services enthalten sind, hat also nichts mit dem Linux-Kernel zu tun.

    • @rdamas

      OK. ich dachte immer VTI setzt auf ein vorhandenes Gerüst auf ?
      Also die ganzen Treiber für alles und so.
      Aber wie ich schon sagte, "soweit ich weiß", lach.


      rdamas schrieb:

      Alles was du machen kannst ist: selber aktualisieren; einen Compiler und Tools findest du in der Database (dem Link in meinem Profil folgen). Das ist zugegeben nur etwas für diejenigen, die sich damit auskennen, aber es ist leider so wie es ist.
      Samba kannst du selber übersetzen und sicher konfigurieren, dropbear habe ich persönlich a) auch schon geupdated, aber b) durch die aktuelle OpenSSH ersetzt. Das ist alles kein Hexenwerk, aber von VTi-Seite leider alles andere als optimal gehandhabt.
      Du meinst die Database Einträge. Das mit dem GCC für Boxen mit ARM Prozessor ? Ich habe das schon ein paar mal im Forum gesehen gehabt und glaube mich zu erinnern zu können mal gefragt was das ist und wozu ich das brauche, damals leider keine Antwort dazu bekommen, ist aber auch schon länger her. Das Problem ist nur das ich mich damit garnicht auskenne, was ich da genau alles machen muss.

      Das VTI habe ich nie als selbstverständlich gesehen, aber ich finde das System ansprechend und meiner Meinung nach das bis jetzt beste gepflegte System. Open ATV ist nicht so mein Ding auch nach meinem Empfinden träger das ganze, und ich glaube zu VTI gibt es auch mehr. Dann gibt es noch andere Images die ich schon getestet habe aber nicht die Erwartungen erfüllt haben.

      mfg
      MAN HAT ES NICHT LEICHT, ABER LEICHT HAT ES EINEN....

    • Naichbindas schrieb:

      Das mit dem GCC für Boxen mit ARM Prozessor
      Ja, genau; du kannst nachdem du die Pakete für den Compiler installiert hast, den Source-Code von diversen unter Linux benutzten Programmen herunterladen, auf der Box entpacken und dann selber übersetzen und (optional als ipk gepackt) auch installieren.

      OATV ist was die benutzten Linux-Programme angeht definitiv um Jahre aktueller als VTi. Aber auch nicht so mein Ding - vielleicht aber einfach Gewohnheit.
      Diskutiere nie mit einem Idioten. Er zieht dich auf sein Niveau runter und schlägt dich mit seiner Erfahrung.

    • Es gibt immer noch einen IRC Bot der enigma2 Receiver snifft.
      Und es ist jedes Image betroffen, egal ob openatv oder VTI.
      Ich hatte vor Jahren hier in diesem Forum schon einmal einen exploit gemeldet der erfolgreich geschlossen wurde (finde nur den Beitrag nicht)
      Mfg

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von suffer ()