Plötzlich ungewollt offenes WLAN mit dem Vodafone-Router Compal CBN-CH766CE

Weblog vom 10.11.2021: Plötzlich ungewollt offenes WLAN mit dem Vodafone-Router Compal CBN-CH766CE
Kategorie:IT Security
Stichworte:Internet, Router, Vodafone, Kabel Deutschland, Compal, CBN, CH7466CE, Firmware, 4.50.20.3, Buf, WLAN, offen, Sicherheitslücke, CBN_SSID_2.4G, CBN_SSID_5G, Connectbox, Kabelbox, WIFI


Ich wache heute morgen auf. Bin irgendwie noch nicht so richtig ausgeschlafen. Es dringt ein wenig Licht durchs Schlafzimmerfenster. Ist es schon Zeit, aufzustehen oder ist heute einfach nur ein sonnigerer Tag? Im November weiß man ja nie.

Ich will Klarheit und raunze meinem amazon Echo Dot im Schlafzimmer zu: Alexa, Uhrzeit!. Alexa rattert eine ganze Litanei herunter, die mich endgültig meiner Option, eventuell wieder einschlafen zu können, beraubt. Sie kann keine Verbindung mit meinem WLAN-Netzwerk herstellen. Ich soll den Echo und den Router ausschalten und wieder einschalten blah blah...

Aber erst einmal anziehen und Zähne putzen. Danach geht es ins Wohnzimmer, den Router neu starten und während er das tut, erst einmal einen leckeren Latte Macchiato machen.

Mit Kaffee zurück ist Alexa immer noch nicht verbunden und auch mein Always On Display, ein Raspberry Pi, der über WLAN kommuniziert, zeigt an, dass er keine Verbindung hat.

Ich schlürfe meinen Kaffee, mein von Vodafone für mein Kabel-Internetzugang zur Verfügung gestellter Router von Compal, der CH766CE zeigt inzwischen schon länger an, dass das Gerät neu gestartet, verbunden und auch Internet, WLAN und Telefon wieder verfügbar sind. Seltsam.

Also fahre ich den PC hoch und pinge Google und meine Website an. Dahin habe ich eine Verbindung. Internet über LAN-Kabel funktioniert. Nur das WLAN scheinbar nicht. Seltsam.

Dann schauen wir doch mal in die Router-Konfiguration, was denn das WLAN so sagt:



WIE WAS? Security Disabled? Und was soll diese veränderten SSID "CBN_SSID_2.4G" und "CBN_SSID_5G"? Spinn ich denn? Das habe ich so niemals eingestellt. Meine SSIDs heißen ganz anders.

Ich bekomme erst einmal einen gehörigen Schreck. Mein WLAN steht offen wie ein Scheunentor. Jeder kann darüber ins Internet und böse Dinge machen und ich bekäme dafür den ganzen Ärger ab. Und mir wird klar, warum meine IoT-Geräte nicht mehr ins Internet kommen: die versuchen sich natürlich per WPA2 und korrektem Passwort einzuloggen, aber WPA2 ist ja jetzt aus.

Als sofortige Aktion zur Schadensbegrenzung erstmal das ganze "Wireless Radio" für beide Frequenzen auf "Disabled" gestellt und "Apply" geklickt. Wie Was? Da disabled sich nichts? Da kommt die selbe Konfiguration wieder und wieder ist Security Disabled und das WLAN damit offen. Mich überkommt der böse Verdacht, dass da jemand meine Firmware gehackt hat und mein Router jetzt nur noch offenes WLAN kann... Aber wie?

Dann es nochmal anders versucht und die SSIDs geändert, WPA2 eingestellt und ein ultralanges Fantasiepasswort vergeben. Wieder "Apply". Und diesmal hat er es geschluckt. Ins WLAN kommt jetzt erstmal niemand rein. Erste Schadensbegrenzung. Feuer gelöscht sozusagen. Von Hackern umprogrammierte Firmware wieder unwahrscheinlich.

Nachdem das Scheunentor jetzt wieder verschlossen und zugenagelt ist, kann ich mich auf die Suche nach dem Brandstifter machen. Und spätestens jetzt wird mir klar: ich habe den Fehler gemacht, den Router zu rebooten. Das hat das Log natürlich gelöscht.



Da kann ich nichts in Erfahrung bringen. Ich schaue also als nächstes, was noch so alles auf meinem Router verändert ist. Wurde die Firewall ausgeschaltet? Wurden Portweiterleitungen eingerichtet? Wurden Ports geöffnet? Was ist anders?



Es stellt sich aber heraus, dass außer dem offenen WLAN alles beim Alten ist. Auch die ganzen Firewall-Regeln sind aktiv. Wie hat es dann der potentielle Hacker in meinen Router geschafft?

Mal rekapitulieren: Ich bin jetzt schon seit über 5 Jahren bei Kabel Deutschland / Vodafone und immer hatte ich dieses Router-Modell Compal CBN-CH766CE. Der war zwar nicht perfekt, zu Anfang ging zum Beispiel der USB-Port nicht, was aber dann mit einem Firmware-Upgrade behoben wurde. Aber ansonsten eigentlich immer recht zuverlässig. Hat jetzt nicht so den übermäßig verbuggten Eindruck gemacht. Und dieses Phänomen mit dem offenen WLAN hatte ich in all der Zeit das erste mal.

Die große Frage ist: a) ist das ein Bug im Router und von innen getriggertes Problem, dass nur ganz selten auftritt oder b) ist das ein Bug / Sicherheitslücke, die von einem Hacker von außen getriggert werden kann und der dann nach Belieben WLANs offen schalten kann oder c) ist das aus Versehen von außen durch das Vodafone-Team getriggert worden?

b) wäre natürlich ein großes Problem. Wenn Hacker beliebig das WLAN öffnen könnten, könnten sie War-Driving-mäßig durch die Gegend fahren bis zum nächsten Compal Router. Ich schätze mal, da gibt es in Süddeutschland in jeder Straße mehrere. Dann das WLAN öffnen, die Payload abwerfen und sich schnell von dannen machen. Den Hackern könnte dabei so gut wie nichts passieren. Aber ich stünde doof da und man würde erstmal mich als Anschlussinhaber verdächtigen. Und ich dürfte dann die Erklärungsnot haben, dass ich das nicht war. Blödes Dilemma.

a) wäre zwar unschön, aber man müsste ja eigentlich nur jedesmal das WLAN neu konfigurieren, falls das passiert. Aber das so schnell wie möglich, nicht dass irgendwo ein Hacker in der Nähe ist und das offene WLAN gleich ausnutzt, um Spam-Mails zu verschicken oder illegale Sachen zu tauschen. Ich weiß jetzt nicht, wie das War Driving heutzutage ist, aber mit fliegenden Drohnen wäre das heutzutage sehr effizient.

c) wäre genauso unschön wie a), aber noch verkraftbar, wenn ich schnell genug reagieren kann. Und normalerweise erkenne ich ein offenes WLAN recht schnell und schließe es. Normalerweise. Aber manchmal will ich doch mal einen kurzen Urlaub machen.

c) halte ich auch nicht für unmöglich, weil ich weiß, dass mein Router einmal von Vodafone auf eine neue Firmwareversion aus der Ferne upgegradet wurde. Die können sich also irgendwie mit meinem Router verbinden und dort herumkonfigurieren. Vielleicht war hier wieder eine Fernwartung vorgenommen worden, aber der Operator hat einen Fehler gemacht, der zum offenen WLAN geführt hat?

Nachdem die Logs ja leider leer sind, bleiben mir nur die gesetzen SSIDs: "CBN_SSID_2.4G" bei 2.4 GHz und "CBN_SSID_5G" bei 5 Ghz. Das hört sich für mich sehr nach Standard-SSID an: "CBN" steht wohl für Compal Broadband Networks, "SSID" für SSID und "2.4G" und "5G" für die jeweilige Frequenz.

Eine Standard-SSID spräche eher für einen Bug in der Firmware, bei dem sich auf irgendeine selten vorkommende Art und Weise die WLAN-Konfiguration zerschossen hätte und dann auf die Default-Werte gesetzt werden. Das dies default auf "offen" mit Standard-SSIDs geschieht, ist natürlich unverzeilich. Das Fallback müsste in jeden Fall auf "geschlossen" sein und mit dem Standard-Passwort, dass auf dem Router-Etikett aufgedruckt ist.

Um das herauszufinden könnte ich, rein theoretisch, den Router aufschrauben, den Flash-Baustein mit der Firmware auslesen und dann schauen, ob ich darin die Strings "CBN_SSID_2.4G" und "CBN_SSID_5G" finde. Täte ich das, spräche das für a) (und c)), würde b) aber nicht ausschließen, wenn der Hacker den Bug anstoßen kann. Das ist mir aber zu viel Aufwand, besonders, wenn ich den Flash-Baustein auch noch auslöten müsste. Einen Firmware-Download für den CH766CE und Konsorten habe ich beim Hersteller nicht finden können.

Ich könnte jetzt natürlich bei Vodafone anrufen, aber ich weiß schon vorher: da muss ich erst dem Computer Fragen beantworten, dann werde ich ewig in der Warteschleife mit grauenhafter Musik bedudelt und dann bekomme ich jemand an den Apparat, der schlecht deutsch spricht und der gar nicht versteht, was für ein Problem es gibt und mich auch nicht zu jemandem weiterleiten kann, der Ahnung hätte. Dort anzurufen ist vertane Lebenszeit.

Den Hersteller anzurufen kommt auch nicht in Frage, denn der sitzt in Taiwan und man könnte sich wahrscheinlich nur schwer verständigen und außerdem haben die Menschen in der Region die Angewohnheit, sehr höflich zu sagen, dass sie alles verstanden haben, dass das alles sehr wichtig sei und dass man sich gleich darum kümmern werde, nur um dann nichts zu tun. Auch vertane Lebenszeit.

Beim BSI nachfragen, ob es schon so Fälle gibt? Vielleicht sogar eine Anzeige bei der Polizei wegen Verdachts auf Hackerangriff? Die werden auch nichts herausfinden können... woher auch? Und wenn es doch nur ein Bug in der Firmware ist? Hat alles auch keinen Zweck.

Aber vielleicht hatten andere Vodafone-Kunden mit dem Router-Modell schon das gleiche Problem und es ist etwas darüber im Internet zu finden?

Unter https://www.vodafonekabelforum.de/viewtopic.php?f=68&t=39185&start=10 schreibt okatomy am 03.05.2018, 01:55 zum Thema Sicherheitslücke in CH7466CE mit FW 4.50.19.12:
Habe letztens eines dieser Teile bei erwischt welches die SSID auf CBN SSID 2.4 und CBN SSID 5 stehen hatte... unverschlüsselt.

Ein problemloses einloggen ins Wlan war möglich und Dank default Password auch auf die weboberfläche. Und da stand tatsächlich der WPA Key für jedermann zum auslesen. Ein Reboot hat den Spuk dann beendet.

Also die Kiste ist voller Bugs und Sicherheitslücken. Man merkt einfach dass DOCSIS und was damit zu tun hat von Ami's entwickelt wurde. Sicherheit wird da einfach klein geschrieben, in Amiland wurden (oder werden immer noch?) bis vor nicht allzu langer Zeit die DOCSIS Router von Time Warner cable und anderen mit WEP Verschlüsselung ausgeliefert.
okatomy hatte das Phänomen also auch schon. Warum er allerdings auf die Amerikaner draufhaut, wo das Gerät doch aus Taiwan kommt, das weiß ich auch nicht. Und außerdem wird der Übertragungsstandard DOCSIS sicher nicht an dem Bug schuld sein. Egal. Vielleicht kennt er sich nicht sonderlich gut aus? Auf jeden Fall hatte er das gleich Problem. Welche bei ihm nach einem Reboot allerdings beendet gewesen sein sollte - war bei mir nicht so.

Achja, und dann bemerkt er noch den Port 1194 UDP, der bei ihm offen ist, obwohl das nicht in der Router-Konfiguration angezeigt ist. Und dass er selbst einmal eine Portfreigabe auf 1194 angelegt hätte, das dann aber nicht mehr in der Liste aufgetaucht wäre. Vielleicht ist hier ja okatomy auf den Fernwartungsport von Vodafone gestoßen, mit dem Vodafone die Firmware-Updates betreibt?

Und damit da keiner Schindluder mit treibt, dachten die sich bei Vodafone: den immer offenen Port 1194 verstecken wir mal lieber in der Portfreigabe-Liste, damit den keiner entdeckt und dann vielleicht versucht, irgendwas schräges damit zu machen. Aber wenn der nicht angezeigt wird, dann kann der User die Portfreigabe auch nicht anlegen bzw. löschen. Das wäre ein Paradebeispiel für Security by obscurity und damit so, wie man es nicht machen sollte.

Und das spräche noch mehr dafür, dass es sinnlos ist, mit Vodafone über das Problem zu sprechen. Die würden einfach nur sagen: gibt es nicht. Das wäre potentiellen Hackern aber egal. Vielleicht haben die ja inzwischen teilweise herausgefunden, wie die Befehle auf Port 1194 lauten und dass man damit WLANs auf die Defaultwerte offen und "CBN_SSID_..." stellen kann?

Oder aber es ist einfach ein Bug. So eine Router-Firmware ist komplex. Da kann ehrlicherweise gesagt schon mal ein Fehlerchen übersehen.

Unter https://forum.vodafone.de/t5/Archiv-Internet-Ger%C3%A4te/SSID-w%C3%BCrde-ge%C3%A4ndert/td-p/2286852 schreibt Anonym64606 am 29.12.2018 06:56 zum Thema SSID würde geändert:
Guten Tag, Heute früh musste ich feststellen das meine ssid der connectbox geändert wurde . Der neue Name war dann cbn-ssid 2,4ghz und cbn-ssid 5ghz . Vorher war es UPC.......

Im log stehen einige kritische Meldungen .
Aber auch dieser Foreneintrag ist mittlerweile 3 Jahre alt. Noch älter ist die Meldung von heise security von Oktober 2015 Fatale Sicherheitslücken in Zwangsroutern von Vodafone/Kabel Deutschland und der c't-Artikel Gefährliche Lücken in Kabel-Routern von Vodafone/Kabel Deutschland. Aber darin geht es um WPS (Wi-Fi Protected Setup), das mit diesem Phänomen nichts zu tun hat. Trotzdem zeigt er, dass bei der Firmware-Entwicklung doch der eine oder andere Fehler zum Thema Sicherheit gemacht wurde.

Unter https://forum.vodafone.de/t5/Archiv-Internet-Ger%C3%A4te/CH7466CE-%C3%A4ndert-SSIDs-auf-offen/td-p/1760947 schreibt Netzwerkforscher am 03.10.2018 13:22:
... meine Kabelbox hat letzte Nacht die SSID-Namen (2.4 + 5Ghz) geändert und die Verschlüsselung entfernt. Die SSIDs wurden allerdings nicht auf die Werkseinstellung gesetzt (KabelBox-xxx), sondern heißen "CBN_SSID_5G" bzw. "_2.4G".

Verbinde ich mich mit dem offenen WLAN, kann ich mich auf die Weboberfläche des Routers immer noch mit dem von mir vergebenen Passwort einloggen. Die Kabelbox hat sich folglich nicht zurückgesetzt.

Der Kundenservice hat mir nach der Problemschilderung und ohne weitere Nachforschungen oder Versuche, die Logs auszulesen, die kostenpflichtige Hotline von Compal genannt - soviel zum Thema "Technischer Support". Das sehe ich allerdings so nicht ein, daher hier ein neuer Versuch.

Die Nacht über hatte ich die Kabelbox dann vom Strom getrennt. Einen Werksreset habe ich noch nicht durchgeführt, um evtl. Logs nicht zu löschen. Außerdem kann ich mir ja nicht sicher sein, dass nicht eines Nachts wieder alles offen ist - vielleicht wurde das Gerät ja sogar kompromittiert.

Die Firmware ist die 4.50.19.12.
Der Kundensupport wollte daraufhin das Modem austauschen. Wenn der Kunde dann allerdings das gleiche Router-Modell wieder bekommt, dann bekommt er wahrscheinlich wieder die selbe Firmware mit dem selben Bug und nichts ändert sich. Eine typische "Ich habe keine Ahnung, aber ich mach' mal irgend'was"-Aktion. Das war am 04.11.2019.

Dass der Bug mit der neuesten Firmware 4.50.20.3, die ich auch habe, immer noch auftritt, zeigt, dass sich leider noch nicht viel geändert hat. Man kann nur hoffen, dass der Bug jetzt seltener auftritt. Aber eigentlich müsste man das Problem mal in der Tiefe analysieren und beheben. Kostet natürlich Arbeit, Zeit und Geld. Wäre aber wichtig.

Nun mögen viele denken: "Ist doch nicht so schlimm, so selten, wie das vorkommt. Dann schließe ich halt alle paar Jahre mein WLAN und schreibe meine alten Zugangs-Daten wieder rein". Allerdings ist es damit nicht getan. In Deutschland sollte zwar die Unschuldsvermutung und der Grundsatz "Im Zweifel für den Angeklagten" gelten, aber das scheint sich in den letzten Jahren immer mehr zu einer Beweislastumkehr zu wandeln.

Wenn also in der Zeit, wo mein WLAN ohne mein Wissen und ohne meine Schuld missbraucht wird, um zum Beispiel urheberrechtlich geschütztes oder strafbares Material zu tauschen, dann steht natürlich erstmal der Anschlussinhaber in Verdacht. Dann unterstellt man, dass sich die Scripte, die zum Beispiel die IP-Nummern von Leuten automatisch mitprotokollieren, die über Torrent Filme und Musik tauschen, nicht irren und geht erst einmal davon aus, dass die stimmen - ein sogenannter Anscheinsbeweis.

Damit tritt dann eine Beweislastumkehr ein und ich als Anschlussinhaber soll dann beweisen, dass ich die Sachen nicht getauscht habe. Am besten durch Nennung des Namens desjenigen, der die Tat begangen hat. Doch wie soll ich das machen? Wenn ich erkläre, dass das WLAN auf einmal offen gestanden hat, dann wird mir das kaum jemand glauben - weil, dass kann ja jeder erzählen.

Und da der Bug nicht reproduzierbar ist, ich ihn also nicht jederzeit hervorrufen kann, wenn ich das will, sondern der nur selten und sporadisch auftritt, kann ich dessen Existenz noch nicht einmal beweisen.

Und selbst wenn ich diesen Artikel und die Foreneinträge als Beweis angebe, dann könnte das alles immer noch als Schutzbehauptung (Ausrede) gewertet werden.

Da stünde ich dann schon ziemlich bedröppelt da: unschuldig und mit der unmöglichen Pflicht, meine Unschuld zu beweisen. Dumm gelaufen.

Darum ist es mir ein Anliegen, darüber aufzuklären, das Bugs an der Tagesordnung sind und das es möglich ist, dass WLANs auf einmal offen stehen können und es durchaus sein kann, dass jemand ahnungslos und wirklich unschuldig ist.

Urteile wie das unter anderem von golem im Artikel Urteil gegen 70-Jährige ohne PC wegen Filesharing bestätigt berichtet wird, geben einem schon zu denken, ob das mit der gerechten Rechtssprechung in Deutschland in diesem Zusammenhang noch funktioniert.

Nachtrag 2022-01-10

Heute morgen war es mal wieder soweit: Mein CH7466CE-Router (immer noch Firmware-Version 4.50.20.3) von Kabel Deutschland / Vodafone begrüßte mich mal wieder mit einem WLAN offen wie ein Scheunentor.

Diesmal habe ich nicht gleich eine Rekonfiguraiton und Neustart durchgeführt, sondern mir alles erst einmal in Ruhe angeschaut, auch das WiFi Event Log. Das zeigte, dass sich bereits jemand in das offene WLAN eingeklinkt und es genutzt hatte, gleich in der Früh um halb acht. Da habe ich noch selig von Bits und Bytes geträumt. Die MAC Adresse habe ich mir natürlich notiert, glaube aber nicht, dass das ein Angreifer war, weil nur ein paar Kilobytes übertragen wurden. Also nur zur Sicherheit für den Wiederholungsfall.

Ich denke eher, dass der Router beim nächtlichen Ausschalten und Wiedereinschalten nach ein paar Stunden nicht so richtig wieder auf die Beine kommt und dann diese unsagbar dämliche WLAN-Standardkonfiguration vornimmt. Denn bisher trat das immer morgens auf. Eventuell könnte man den Fehler reproduzieren, indem man den Router unzählige Male aus- und wieder einschaltet. Da es immer ein paar Minuten dauert, bis der wieder hoch kommt, eine zeitaufwendige Angelegenheit. Aber ich beobachte weiter....