AVM FRITZ!Box 7390, 7490 und 7580: Achtet auf den Einsatz von FRITZ!OS 6.83

Ende Januar berichteten wir davon, dass es eine Sicherheitslücke in FRITZ!OS 6.80 / 6.81 geben könnte. Diese Aussagen wurden von Teilnehmern eines Forums getroffen. Die Lücke wurde an AVM gemeldet, das Unternehmen bat um Aufschiebung der Offenlegung, bis die relevanten Boxen mit einem Update versorgt wurden. Die Lücke ist mittlerweile auch hier beschrieben, sie erlaubt einen Denial of Service-Angriff auf die betroffene FRITZ!Box.

Des Weiteren hat auch das Unternehmen Heise einen externen Sicherheitsforscher auf die Firmware der AVM FRITZ!Box angesetzt. Dieser fand eine Schwachstelle in den Internettelefonie-Funktionen (VoIP) der Firmware: „Ein Angreifer könnte etwa den Datenverkehr mitlesen oder den VoIP-Anschluss seines Opfers für kostenpflichtige Anrufe missbrauchen.“

[irp]

Heise wandte sich nach eigenen Aussagen mit einem Proof-of-Concept-Exploit an AVM. Die konnten das Einschleusen und Ausführen des Code über das Netz nicht nachstellen, sprachen davon, dass dies „bei kundenüblichem Einsatz der Produkte“ praktisch unmöglich wäre.

Das sah der von Heise engagierte Sicherheitsforscher anders, man könne den nur als Machbarkeits-Studie entworfenen Exploit durchaus mit überschaubaren Aufwand zu einem zuverlässigen Angriffswerkzeug weiterentwickeln. Betroffen sind die FRITZ!Box-Modelle 7390, 7490 und 7580 mit den Firmware-Versionen 6.80 oder 6.81. Für Abhilfe sorgt FritzOS 6.83, welches AVM seit März an seine Kunden verteilt.

[irp]

Auch AVM hat zum Thema heute ein Statement veröffentlicht: In den Medien wird aktuell über eine mögliche Schwäche in der veralteten FRITZ!OS-Version 6.80/6.81 berichtet.  Auch nach intensiven Untersuchungen durch AVM zeigt sich keine Möglichkeit dazu. Die Version 6.80/6.81 war nur kurzfristig im Markt und ist per Auto-Update vollständig durch die Version 6.83 ersetzt worden.

Solltet ihr eine der genannten Boxen einsetzen, so stellt sicher, dass ihr die aktuelle FRITZ!OS-Version installiert habt.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

21 Kommentare

  1. Mein Provider pennt und ich bin auf 6.80 und kann nicht updaten … *grrr*

  2. Kommt vor, darf nicht aber passiert schon einmal.
    Immerhin arbeitet AVM immer schnell am fix, notfalls auch am Wochenende!

    Immerhin ist es nicht vorsätzlich wie bei VW…

  3. Wolfgang D. says:

    Die Firmware 6.83 läuft auf meiner FB7490 seit dem 17.03.2017, aber es gibt auch andere.

  4. Hmm und was ist mit älteren Routern wie dem 7360SL?

  5. Und bei mir gibt es seit diesem Update den Hinweis von „nicht vom Hersteller autorisierte Änderungen an der Firmware“, was ich jedoch nie getan habe? Noch jemand?

  6. Das kann einfach durch aktivieren von telnet passiert sein.
    Wenn du bei der Box ein recovery machst ist es weg, solange wird es angezeigt werden!

  7. Habe das gleiche „Problem“ wie Mike. Wenn ich Telnet aktiviert hätte, müsste ich das doch wissen, oder? Macht man ja nicht durch einen unbedachten Click, oder? Recovery geht nur mit Windows, korrekt?

  8. Das erklärt die plötzlichen Updates die letzten Tage der ganzen Fritz Boxen.
    „Schön“, dass das so gut inzwischen funktioniert. (Sofern ein Kunde keine Kabelbox hat)

  9. Und wie zwingt man einen Provider dazu, endlich mal auf die aktuelle Version upzudaten?

  10. Kabelboxen sind ohnehin nicht betroffen.
    Normal kann man auch bei einer gebrandeten Fritzbox das update manuell installieren, das branding bleibt trotzdem erhalten, Mann kann es auch entfernen bzw setzt sie auf AVM, denn ist alles wie einer original verkauften Box!

    @Alaex, das muss denn aber schon länger her sein, denn seit einiger Zeit ist kein Telnet mehr in der Box, eventuell hast du ja auch was anderes probiert??? Diese Einstellungen konnte man auch mit dem Telefon aktivieren.

    Ein Recovery geht nur mit Windows: https://www.google.de/url?sa=t&source=web&rct=j&url=https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publication/show/160_FRITZ-OS-der-FRITZ-Box-wiederherstellen/&ved=0ahUKEwib58jNzLLTAhWBVBQKHbu9CmsQFggaMAA&usg=AFQjCNHvnUfXT7L0mXrw24ktDWLNXKww_A
    Zusammen mit einen Reset und neu angelegten Einstellungen beugst du damit einen KKK vor! Telefonbuch kann man natürlich wiederherstellen.

  11. Telnet wird angeblich seit 6.25 nicht mehr unterstützt, korrekt, und das ist das, was mich ja auch stutzig macht. WENN ich irgendwas derartiges gemacht hätte (und mir ist wirklich nichts bewusst), hätte es dann die Meldung nicht schon vorher mit 6.80 geben müssen?

  12. Das kann auch einfach ein Bug beim updaten gewesen sein, hab ja auch meine Probleme mit der 6.83. oder es handelt sich um einen KKK, jedenfalls wirst du nicht herum kommen, wenn du das weg Habel willst die Box zu recovern! Vorher kannst du ja gerne mit AVM in Kontakt treten, eventuell noch einen Report schicken ob sie dir weiter helfen können, das geht ganz fix und du bekommst sehr schnell Antwort!

    Auch ein fehlgeschlagenens update kann die Ursache sein: https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publication/show/429_FRITZ-Box-meldet-In-Ihrer-FRITZ-Box-wurden-vom-Hersteller-nicht-unterstuetzte-Aenderungen-durchgefuehrt/

    Hast du immer nur die release benutzt oder zwischendurch auch einmal eine Laborimage?

  13. @Name:
    Die 7360SL wird vermutlich keine Firmware mehr bekommen.

    @Alex und Mike:
    Welche Fritzbox-Modelle habt ihr und von welcher Firmware-Version habt ihr upgedatet? Habt ihr evtl. den Anrufmonitor aktiviert?

  14. Ich habe die 7390 — und da die Box für mich so essenziell wichtig ist, „spiele“ ich mit der nicht rum oder probiere Sachen aus. Sprich: Dinge die über das original UI (ohne Laborimage o.ä.) gemacht werden können, mache ich, aber nicht mehr. Telnet? Nein. Anrufmonitor? Nein.

    Ich komme von 6.80 (wo es die Meldung noch nicht gab) — aber das automatische Update in der Nacht hatte wohl mehrmals versagt. Wodurch in dann irgendwann für das manuelle entschieden habe. Und da sind wir dann wohl bei der Verlinkung von Mr. Magoo.

    Habe AVM mal angeschrieben, aber ich denke die werden mir auch keine Lösung anbieten können außer „Leb‘ damit“ oder „Besorg‘ dir einen Windows Computer“.

  15. @Alex:
    Danke für Deine Ausführungen. Ja, dann sind es die fehlgeschlagenen Updates.

    Die Warnung muss Dich nicht stören. Sie hat keinerlei funktionelle Auswirkungen! Daher besteht keine zwingende Notwendigkeit, ein Recovery auszuführen.

    AVM hat keine offiziellen „Recovery-Tools“ außer für Windows. Sie werden Dir ggf. nen Boxtausch anbieten. Alternativ kannst Du ne VM mit Windows nutzen. Aber wie gesagt, die Warnung kannst Du beruhigt ignorieren.

    Wenn Du Linux-User bist und etwas geübt, gäbe es ggf. auch damit eine Möglichkeit den „Fehler“ zu beseitigen.

  16. Leider kommt man nicht mehr an der box heran um diese eventuell ändern zu können.
    Das wird darauf hinaus laufen , entweder ein Laptop im Freundeskreis besorgen oder VM.

  17. @Name:
    Also, man hat sich doch erbarmt und die Fixes eingebaut, allerdings auf Basis der letzten Firmware:
    http://download.avm.de/fritz.box/fritzbox.fon_wlan_7360_sl/firmware/deutsch/FRITZ.Box_Fon_WLAN_7360_SL.109.06.33.image

  18. Genau wie die alte 7330sl, die hat auch noch ein update bekommen, Anfang des Monats!
    Super service wie ich finde!

  19. Na ja, die 7330[SL] ist ja noch nicht kurz vor EOL, EOS und EOM, wie die 7360v1 und 7360SL.

  20. Die 7330SL hat aber als neueste Version nur 6.53, ist da die Lücke noch offen?

  21. Wolfgang D. says:

    Ich frag mich, was ihr über die 7330 jammert, die doch gar nicht von dem Problem betroffen ist. Könnt ihr nicht mal die drei Geräte oben im Artikel ablesen?

Es kann einen Augenblick dauern, bis dein Kommentar erscheint.