AVM: Viele Boxen mit älterer FRITZ!OS-Version mit Sicherheitslücke
Viele von uns sind immer auf Zack, wenn es um Updates geht. Kommt eine neue Version, sind wir schnell dabei, diese aufzuspielen. Viele Menschen sehen das anders, eine Kiste muss funktionieren. „Firmware-Updates? Läuft doch auch so!“ Dass Firmware-Updates unter Umständen Sicherheitslücken schließen, ist bekannt, geht aber auch an manchen Menschen vorbei. Falls ihr der IT-Sklave der Familie seid, dann schaut doch unter Umständen mal bei denen in der Familie vorbei, die eine FRITZ!Box nutzen. AVM weiss auf der Security-Seite immer zu betonen, wann man nicht betroffen ist, die eigenen Sicherheits-Updates sind aber auf einer dezidierte Seite zu finden.
Lücken gab es bei einigen Geräten und da draußen laufen sicherlich noch welche rum, die kein Update durch den Nutzer spendiert bekommen haben. Laut RedTeam Pentesting gibt es da beispielsweise eine Sicherheitslücke in der AVM FRITZ!Box 7490, die recht populär (die Box, nicht die Lücke) ist. Bei dieser Box wird davor gewarnt, dass dem Nutzer über eine man-in-the-middle-Attacke eine präparierte Firmwaredatei untergejubelt werden kann. Sicherlich eine schwer zu nehmende Hürde, doch nicht im Bereich des Unmöglichen. Mit Version 6.30 von FRITZ!OS müsste die Lücke behoben sein, wenn man sich die Timeline anschaut.
Ebenfalls aktualisiert werden sollten folgende Geräte: AVM FRITZ!Box 3272/7272, 3370/3390/3490, 7312/7412,7320/7330 (SL), 736x (SL) und die eben schon erwähnte 7490. Auch hier sind FRITZ!OS-Versionen unter 6.30 betroffen. Nutzt ein Angreifer die hier beschriebene Lücke aus, so könnte er den Traffic überwachen, aber auch Telefonate führen. Die Lücke kann nur über das LAN oder aber über eine spezielle Seite ausgenutzt werden, die ein FRITZ!Box-Besitzer mit einer betroffenen Version besucht.
In diesem Sinne – lieber Vorsicht walten lassen und eine aktuelle Version einspielen, sofern verfügbar.
Mich wundert es, dass die 7390 nicht betroffen sein soll.
Die ist der 7490 doch sehr ähnlich.
Klick mal auf den Link mit 7490. Da steht: möglich auch andere.
Und meine 7270v3? Schade dass diese Box von AVM keine Updates mehr erhält… Sehe eigentlich keinen Grund mir eine neue zu kaufen.
Warum die ganze Panik? So wie ich das verstehe ist die 6.30 (noch) in Ordnung und die gibt es schon seit Juli, wenn ich nicht irre. Und die 6.30 IST für die meisten Boxen die aktuellste Version. Der Titel des Artikels suggeriert eher das es wieder eine neue Lücke gibt. Was soll das? Bildzeitungsnivaeu.
@Onkel Hu: Mal davon ab, dass die Überschrift in keiner Weise reißerisch ist: Wer immer noch eine ältere Version einsetzt, der ist IMMER NOCH betroffen – aber der weiß erst seit HEUTE davon.
Wenn man denn mal 6.30 hätte.
Als Unitymedia Kunde wird man mit der 6490 noch mit dem OS 6.24 abgespeist.
Updates? Nada!
Fritzbox 6360 Cable von KD/Vodafone hängt auf 6.06 und kann nicht per Hand mit updates versorgt werden -.-
Sehr Lustig die Meldung, ja Caschy du kannst nichts dafür, aber die 6360 (Unitymedia) aktuell 6.04 und wo bekomm ich das Update her? Kann ich Unitymedia in Verantwortung nehmen?
Gerade bei meiner alten 7270v2 (KD) nach Updates gesucht und siehe da. Im Oktober kam noch ein Update auf FRITZ!OS 06.06 (54.06.06). Im Changelog u. a.
– (ab FRITZ!OS 5.54) Sicherheit: Unberechtigte Zugriffsmöglichkeit auf FRITZ!Box behoben. Beachten Sie dringend die aktuellen Hinweise unter http://www.avm.de/sicherheit
Ist damit die Sicherheitslücke gemeint?
AVM schweigt sich über das Sicherheitsproblem aus. Zitat:
»Die in FRITZ!OS 6.50 enthaltenen Verbesserungen zur Sicherheit werden zu einem späteren Zeitpunkt an dieser Stelle veröffentlicht.«
Was soll sich der geneigte User dabei denken? Gab es eine schwere Sicherheitslücke, deren Hintergund man erst veröffentlichen möchte, wenn eine große Anzahl User das Update haben? Sieht irgendwie danach aus.
„Ein Teil der Antworten würde die Benutzer nur verunsichern.“
Es gibt in alle Firmwaren (selbst in den aktuellen) von AVM noch alte Sicherheitslücke(n) die bis heute von AVM nicht geschlossen wurden, obwohl AVM davon weiß. Aber warum sollte AVM im Umgang mit solchen Problemen besser sein als andere renommierte Firmen… 🙁
@Thomas und @Dirk K.: Ihr Glücklichen! Ich bin immer noch bei OS 5.50 (6360 Cable) bei KabelBW/Unitiymedia. Ich weis gar nicht mehr, wie oft ich den Kundenservice kontaktiert habe (email/telefonisch) und um ein Update gebeten (eher gebettelt) habe. Aber die bekommen das nicht gebacken… Leider gibt es bei mir keine Alternative zu KabelBW. Und nun wird auch noch die Kabelgebühr erhöht… 🙁
@Onkel Hu
Caschy hat Recht! Habe gerade erst auf Grund der Nennung meiner FB hier im Artikel nach einem Update suchen lassen. Vorher war nichts angezeigt. Und nun kann ich aktualisieren.
Danke also für den Hinweis!
@Ralf M: Da stehen die Chancen wahrscheinlich besser sich ein Cisco EPC3208 zu erbetteln. Irgendwann hats geklappt als ich einen Techniker da hatte. Vorher hatte ich das fiese TC 7200, da gab’s nur Probleme. Jetzt habe ich ein Cisco EPC3208, IPv4 und ne eigene 7490 als Router.
Habe in vergangener Zeit öfter mal was zu Updates von Fritzboxen gelesen. Allerdings war da nie die Rede von der Kabelversion (Unitymedia (the artist formerly known as Kabel BW), KD etc.). Sind die Kabel-Fritzboxen nicht von den Sicherheitslücken betroffen, oder sträubt sich der jeweilige ISP gegen updates. Wäre nett, wenn da jemand n Plan hätte und sich mal dazu äußern könnte! 😉
@Stefan: Siehe den Kommentar von DonBoskopp am 7. Januar 2016 um 19:19 Uhr 😉
Na toll, wieder mal kann ich mit meiner Kabel Fritzbox nicht updaten und muss darauf hoffen das mein Kabelanbieter Netcologne sich wieder mal nach Monaten erbarmt.
@Markus Maier ach wie peinlich! Wer lesen kann… Besten Dank für den Hinweis! 😉