Fritz!Box Sicherheitslücke betrifft nicht nur den Fernzugang
AVM schwieg sich bisher über konkrete Details zu der Sicherheitslücke aus, von der nahezu alle Router-Modelle des Herstellers betroffen waren. Heise Security macht nun darauf aufmerksam, dass die Angriffe keineswegs nur über die Fernsteuerfunktion der Router möglich ist. Die Lücke lässt sich ebenso ohne die Fernsteuerfunktion ausnutzen, was sie um einiges gefährlicher macht. Es genügt bereits eine Webseite mit Schadcode aufzurufen, um die Kontrolle über den Router anderen zu überlassen. Diese können dann beliebige Befehle mit Root-Rechten ausführen.
In einer Proof-of-Concept-Demo konnte Heise Security die Konfigurationsdatei des Routers auf einen externen Server kopieren. Diese Datei enthält neben dem Administrations-Passwort der Fritzbox auch viele andere sensible Daten im Klartext, etwa die DSL- und DynDNS-Zugangsdaten. Echten Angreifern stehen somit alle Türen offen, um den Router für sich auszunutzen. Sei es das abfangen von Login-Daten durch Überwachung des Traffics oder auch die Anwahl kostenpflichtiger Rufnummern, die für den Nutzer einen größeren finanziellen Schaden bedeuten können.
Deshalb auch noch einmal der Appell an alle Nutzer einer Fritz!Box, die Firmware auf den aktuellsten Stand zu bringen. Wie das BSI neulich erklärte, wurden die Updates erst von wenigen Nutzern durchgeführt. Die Router von AVM sind sehr weit verbreitet, die Zahl der potentiellen Opfer dementsprechend groß. Updates kommen bequem über den Aktualisierungs-Assistenten, sodass auch Nutzer ohne große Vorkenntnisse das Update einspielen können.
Eine Liste, die Auskunft über betroffene Modelle gibt und den Status des Sicherheitsupdates anzeigt, findet Ihr hier. (Danke, @ICH)
UnityMedia / KabelBW hat heute morgen meine FritzBox 6360 auf Version 6.03 aktualisiert. Hoffen wir mal, dass das das korrekte Update war.
@de_noogle, heise artikel lesen, da stehts drin
hat eigentlich mal einer geguckt, wie die update funktion der fritz boxen funktioniert? auf avm.de bekommt man fireware-updates ja nur ueber unsichere http/ftp verbindungen… nichtmal checksummen stellen die auf ihrer webseite bereit 🙁
Kabel Deutschland – 6360 – 6.04 !
aber das heisst doch „nur“ dass die konfig _ausgelesen_ werden kann .. oder?
sprich: hat man keinen remote zugriff konfiguriert und navigiert auf solch eine seite kann der boese mann nur sehen dass er nicht rein kommt … oder?
Vielen Dank für den Hinweis!
Jetzt muss ich doch schnellstmöglich ein Update machen (und Freetz samt eigenen Programmen und Einstellungen opfern…)
Glaube schon , das AVM das wusste ..ich kann verstehen ,das die sich mit Info’s bedeckt gehalten haben…nicht auch noch Hacker anfeuern…..und Respekt für das zeitnahe Update….
Tja da bröckelt das Image von AVM aber schon ein wenig. Und die Frage bleibt: wie lange existiert diese Lücke schon unentdeckt? Aufgefallen war diese ja erst durch den Missbrauch der Telefonie-Funktion gekaperter Boxen.
@ Matze.B
Wenn Du so an „German Angst“ leidest, dann wirf die Fritzbox weg, wenn Du meinst mit einer anderen Marke bist Du besser dran.
FRITZ!Box 6320 v2 Cable (um)
FRITZ!OS 06.01
So viel zum Thema es nutzen „xxxx“ Personen AVM Router. Wenn man halt nicht aktualisieren kann ist es klar das nur „xx%“ das Update eingespielt haben 😉
Ich habe da drei wichtige Fragen zum Thema, weil die Fritz-Boxen super lange halten.
1. Wie lange werden die Fritz-Boxen mit Firmware- und Sicherheitsupdates versorgt? Die mitgelieferten Programme meiner betagten FritzBox scheint schon ewig nicht mehr aktualisiert zu werden.
2. Sind nur die neueren FritzBoxen mit Telefonanlage, Server & Co. betrofen oder alle? Wo gibt es die Liste aller betroffenen Modelle?
3. Sollten für meine FritzBox keine neuen Updates mehr zu haben sein, dann werde ich mir wohl oder übel eine neue kaufen müssen, oder gibt es Sicherheitsupdates auch für ganz alte FritzBoxen?
Danke im voraus!
@Ich Frag doch direkt bei AVM…www.avm.de da werden die meisten deiner Fragen direkt beantwortet…
@Matze.B Dann schau Dir mal andere Hersteller an… Da gibt es gar keine neuen Firmwares, weil wird nicht mehr unterstützt, obwohl den Router noch einige in Benutzung haben… AVM ist schon einer von den besseren Herstellern, auch wenn die Boxen im professionellen Bereich nichts verloren haben…
@ich:
zu Frage 1a:
Dazu gibt es eine Liste von AVM, welche Fritzboxen bereits EOS (End of Service) sind:
http://www.avm.de/de/Unternehmen/Divers/EOS.php3
ABER: Für viele, fast alle Boxen, die bereits EOS sind, wurde nochmal eine bug-bereinigte Firmware auf den ftp-Server gelegt.
Eine aktuelle Liste der verfügbaren Firmwaren bekommst Du hier (ganz unten):
http://www.avm.de/de/Sicherheit/hinweis.html
zu Frage 1b:
Was meinst Du für Programme? Fritz!Protect oder so? Die werden schon lange nicht mehr gewartet und kannst Du guten Gewissens deinstallieren. Die Fritzboxen funktioniert auch ohne der Software am PC.
zu Frage 2a:
Nein, es betrifft fast die ganze Fritzbox-Familie. Richtwert ist ab Firmware xx.04.55.
zu Frage 2b:
Vermutlich nur bei AVM intern. Ansonsten siehe
http://www.avm.de/de/Sicherheit/hinweis.html
zu Frage 3:
Welche Fritzbox(en) hast Du denn? Heute kamen für die 7270_v1, 7170, 7040 und 7041. Wenn ich das so richtig überblicke, dann fehlen eigentlich nur noch für ein oder zwei Fritzboxen derzeit Updates. Aber die können ja noch kommen.
happy computing!
Könnten die Fritz repeater nicht auch solch eine Lücke haben? Betreibe nämlich einen Fritz rrpeater 310 an der 6360. Welche das update von Unitymedia immer noch nicht hat ..,
@sam:
Theoretisch vermutlich ja, aber die Repeater sind ja von außen, also vom Internet aus, nicht direkt zugreifbar.
Kann irgendwas passieren wenn ich nur Internet am Festnetz habe?!?
@Ich: Es wurden für alle (betroffenen) Boxen Updates bereit gestellt so wie ich das sehe. Auch die uralte 7170 hat ein Update bekommen.
@Sean: Ich weiß nicht was du genau meinst aber Updaten solltest du immer. Der Bug/Lücke scheint ja wirklich groß zu sein und in allen Boxen vorhanden. Das Update behält Einstellungen etc. und sollte im Normalfall recht problemlos machbar sein 😉
Einerseits ist es ja beruhigend dass sie so auch für so alte Boxen Updates ausliefern aber wiederrum beunruhigend dass selbst diese die Lücke aufweisen. Scheint also doch ne ganze weile schon vorhanden zu sein und wenn sich so die gesamte Konfiguration auslesen lässt gibts wohl eine rootshell incl. allen anderen Angriffsmöglichkeiten.
Heißt für mich ich muss doch auch die Boxen updaten, die kein Fernzugriff aktiviert haben. Wollte das eigentlich noch etwas nach hinten schieben da die gefreetzt sind und eben einges nicht-standart Eingestellt haben was wiederrum mit der 6er Firmware (noch?) nicht geht…
@ColaCheater:
Zu Deiner Aussage:
„Es wurden für alle (betroffenen) Boxen Updates bereit gestellt so wie ich das sehe. Auch die uralte 7170 hat ein Update bekommen.“
Das siehst Du falsch, Stand jetzt!
Mir fallen auf die Schnelle die 7170SL, 7112, 7150 und die 2170 ein, die noch mit keiner bugfix-Firmware beglückt wurden. Stand 17.02.2014, 21:00 Uhr. Ich müßte mal ne Liste zusammenstellen, hoffe aber, dass AVM das macht.
happy computing
@svenp:
Die 84.05.52 von ewe ist bereits eine bugfix-Firmware!
http://download.ewe.de/avm/7390/download/FRITZ.Box_Fon_WLAN_7390.AnnexB.84.05.52.image
Gut, es ist keine 84.06.xx, aber dafür kann die Firmware andere Dinge, was die „normale“ AVM-Firmware nicht kann.
Aber es hindert Dich ja niemand, deine 7390 auf eine „normale“ AVM-Firmware umzuflashen. 😉
Vielen Dank ewe tel die es bis heute noch nicht geschafft haben für die fritzbox 7390 für die ich 200€ bezahlt habe bis heute keine aktuelle Firmware bekommen habe.
Auf der Webseite heißt es das man die Firmware gerade auf Sicherheit teste.
Dafür lässt man die Kunden mit der alten 5.52 Firmware im regen stehen.
Und jetzt lese ich auch noch überall das es auch ohne Fernzugang möglich ist.
Kann ich meinen Provider auf Schadensersatz verklagen wenn mir dadurch Schaden entsteht?
Habt Ihr Euch den Heise-Artikel (inklusive Video) eigentlich mal angesehen? Das ist doch der Hammer! Da ruft der Nutzer einfach eine präparierte Website auf und schon kann der Angreifer ganz locker die in der Fritzbox gespeicherten Mailadressen und Passwörter im KLARTEXT auslesen.
Einfach so, und ohne dass dafür Fernzugriff aktiviert sein müsste. Das betrifft also alle Frizboxen, und bei ca. 50% aller deuschen Internetnutzer steht so eine Zeitbombe zuhause.
In diesem Licht kommt mir die Kommunikationsstrategie von AVM in den letzten 10 Tagen doch grob fahrlässig vor.
@skyteddy diese Version habe ich schon lange drauf und das kann keine Bugfix Version sein.
Wenn ich die Original Firmware von Avm auf die Box installieren würde könnte ich nicht mehr telefonieren, denn mein toller Provider verweigert die Herausgabe meiner sip Passwörter.
Dieser möchte lieber alle paar Wochen meinen Router fern konfigurieren und dann alle meine Einstellungen Resetten.
6 Mal ist mir das nun so ergangen.
Mein Telefon Paket nennt sich ngn ( next Generation network ) , willkommen in der Zukunft.
1.5 Jahre bin ich an diesen misst noch gebunden.
@svenp:
Nein, da täuscht Du Dich. Die 84.05.52 ewetel wurde letzte Woche compiliert, dann getestet und heute morgen veröffentlicht/ausgerollt. Evtl. wurde Deine Box automatisch mit dem Update versorgt. Aktuell war bis letzte Woche die 84.05.51ewetel-Edition.
Und ja, ein Umflashen auf eine normale AVM-Firmware funktioniert. Das haben schon viele Ewetel-Kunden vor Dir gemacht. Es gibt mehrere Möglichkeiten, ohne dass Du Deinen Provider um die Zugangsdaten für Internet und SIP fragen mußt. 😉
Mit anderen Worten: Alle AVM-Router, für die AVM kein Update mehr bereitstellt sind ab sofort unbrauchbar, da Sicherheitsrisiko!
@Telperion:
Momentan sind es in meinen Augen noch 4 Router, die betroffen sind. Und es ist noch nicht Feierabend bei AVM 😉 Ich bin zuversichtlich, dass auch für die 4 fehlenden Boxen demnächst bugfix-Firmwaren ausgegeben werden.