AVM veröffentlicht Sicherheits-Updates für diverse Fritz!Box-Modelle
Vor vier Tagen warnte AVM die Fritz!Box-Besitzer vor einem mutmaßlichen Telefonmissbrauch, gestern wurden dann die Angriffe auf Port 443 der Router bestätigt. Updates wurden versprochen, diese sind nun bereits für einige Modelle verfügbar. Habt Ihr, oder Eure Verwandschaft, ein betroffenes Modell, macht unbedingt das bereitgestellte Update, um eventuellen Schäden vorzubeugen. Das Update kann direkt über die Fritz!Box ausgeführt werden.
Für folgende Modelle stet ein Update bereit:
- FRITZ!Box 7490
- FRITZ!Box 7390
- FRITZ!Box 7270 v2/v3
- FRITZ!Box 3272
- FRITZ!Box 7390
- FRITZ!Box 7360
- FRITZ!Box 7340
AVM teilt weiterhin mit, dass ein Update für die Modelle FRITZ!Box 6360, 6340 und 6320 Cable in Zusammenarbeit mit den Kabelanbietern schnellstmöglich bereitgestellt wird. Außerdem ruft AVM dazu auf, alle Passwörter, die im Zusammenhang mit der Fritz!Box stehen, zu ändern, falls man den Fernzugriff verwendet hat. Eine Update-Anleitung und Sicherheitshinweise findet Ihr hier.
Wird geladen ...
Update für 3370 ist jetzt auch da.
Aber mal ne Frage am Rande. Fernzugriff war bei mir deaktiviert und My!Fritz auch.
Hab aber gesehen, dass Port 443 durch meine WD MyBook Live genutzt wird.
Sollte man das auch im Auge behalten ?
Betrifft das Sicherheitsproblem nur deutsche Modelle?
Für Östereich gibt es nämlich kein Update.
Natürlich gibt es auch für internationale Fritzboxen bereits Firmwaren. Z.b 7490 oder 7360.
Happy computing
@MKS:
Was meinst Du, was die 1&1-Mitarbeiterin mit Deiner Fritzbox gemacht hat? Firmware umgeschrieben etwa, oder gar „fertig“ programmiert, da die lt. Deiner Aussage von AVM ja unfertig war?
Da bist Du falsch gewickelt. 1&1 kann für Dich genau 2 Dinge von der Ferne tun:
– Firmware update
– Teile der Konfiguration korrigieren, löschen oder ergänzen. Ebenso die ganze Konfiguration.
Oft kommt es zu Kuddelmuddel in Konfigurationen
, wenn z.b. die Fritzbox vor Jahren eingerichtet wurde und seither nur regelmäßig Firmware-Updates gemacht wurden. Das ist zu 95% die Ursache für solche Probleme und hat genau gar nicht mit der Firmware zu tun.
Hättest Du selber die Werkseinstellungen geladen und anschließend mittels Startcode deine Fritzbox neu eingerichtet, hätte Deine Fritzbox auch wieder ein funktionsfähiges WLAN gehabt.
Happy computing
Das Update für die 7330 SL ist auch gerade gekommen, steht aber noch nicht auf der Liste / Website von AVM.
Meine 7312 von 1&1 hat auch ein Update:
„Sicherheit: Unberechtigte Zugriffsmöglichkeit auf FRITZ!Box behoben. Beachten Sie dringend die aktuellen Hinweise unter http://www.avm.de/sicherheit„
Auch die Laborversion meiner 7270v3 hat ein entsprechendes Update erhalten
Update für FRITZ!Box 3390 verfügbar!
Oh Mann, die armen Jungs bei AVM haben sicher seit ein paar Tagen nicht mehr geschlafen. 😉
Jetzt war unter Assistenten > Update auch ein Update für die Beta-Version verfügbar, installiert wurde die FRITZ!OS 06.04-27396 BETA. Top-Reaktion seitens AVM (Thumbs up!)
Fritzbox 7330, Update erhältlich, Version 6.03
Fritzbox 7170 ist EOS ( End of Support – https://www.avm.de/de/Unternehmen/Divers/EOS.php3?category=FRITZ!Box )
Also, 7170? Die hat niemals My Fritz bekommen, warum also entsorgen, wenn sie diesen Bug nicht hat? Wobei Bug falsch ist. Ist es nicht so das die Angreifer über email und Passwort Zugang erhalten haben? Ich sehe keinen Grund upzudaten. Wer weiß was dann wieder nicht geht.
Passwort ist nicht zu erraten, hat 15 stellen. Ist genug.
Nochmals, diejenigen die es kein update gibt, haben My Fritz nicht, und somit nicht diese Lücke. Ihr habt eventuell andere DNS Dienste eingetragen + Fernwartung. Aber kein Grund zu Besorgnis. Das gibt es so sein Jahren, zumal man da auch das fritzbox Passwort eingeben muss, was bei My Fritz aus Komfort Gründen weggefallen ist….
Vorsicht. Es geht schon lange nicht mehr um Mailadresse und Passwort. Es ist eine *Sicherheitslücke*, auch wenn hier in der Berichterstattung dieses Wort krampfhaft vermieden wird.
Aktuelles Zitat aus
http://www.ip-phone-forum.de/showthread.php?t=267007&page=15 :
„Mittlerweile scheint klar, dass Fritzboxen via https Fernzugang ohne E-Mail/Passwort-Kentniss gehackt werden konnten. Ob dies mittels globalen Backdoor-Login-Daten, an welche die Kriminellen gelangen konnten, oder sogar ohne Login-Daten passieren konnte, ist nicht klar. AVM schweigt sich über dieses wichtige Detail aus, vielleicht auch aus Sorge vor Schadensersatzforderungen, denn die verursachten Schadenskosten müssen sich mittlerweile mindestens auf einen 6-stelligen Betrag belaufen. Dazu kommen dann all die komprimittierten E-Mail/Passwörter, welche auf den Fritzboxen gespeichert waren. Notabene in Klartext, was sicherheitstechnisch unverzeihlich für eine öffentliche Netz-Box ist.“
Was versteht man unter „gebrandete Box flashen“ ?
@Carsten:
Was meinst Du mit Deinen 3 Wörtern konkret?
Oder willst Du wissen, was ein Branding ist?
Also mal ganz dumm gefragt weil ich bin Programmierer aber gebe zu kein Netzwerk/Router/Internet usw Genie … Muss ich mir mit meiner FritzBox 7170 jetzt Sorgen machen oder nicht?
@DanielF:
Vermutlich ja, denn soviel ich gehört habe betrifft das alle Firmwaren mit https-Zugriff. Und dieses Feature wurd ab ~xx.04.50 eingeführt. Ich mußte die alten ChangeLogs, also info.txts durchschauen, um die genaue Version zu ermitteln.
Daher die Empfehlung, den Fernzugriff bei den allen Firmwaren unter xx.06.03 zu deaktivieren und es besser dabei zu belassen.
happy computing
Kleine Korrektur:
Bei manchen Fritzbox-Modellen, wo es keine xx.06.xx Firmwaren gibt, wurde jeweils die letzte Firmware xx.05.5x um den Bug bereinigt, z.B. 73.05.54, 54.05.54, 74.05.54 oder auch die internationale 54.05.52_AnnexA+B und 74.05.52_AnnexA+B
happy computing
@skyteddy
@was versteht man unter „gebrandete Fritzbox flashen“
Ich beziehe mich auf Kommentatoren weiter oben, die sinngemäß sagen, dass sich die Probleme lösen lassen, indem gebrandete Fritzboxen geflasht werden.
Was versteht man hierunter?
@Carsten:
Das sprengt in meinen Augen den Rahmen hier als Kommentar, aber nu gut. Ich probiere es kurz zu halten.
Was ist ein Branding:
http://rukerneltool.rainerullrich.de/FAQ.html#1.19
Wenn Du jetzt eine Fritzbox/Homeserver von 1&1 hast, brauchst Du Dir keine Sorgen machen, denn die aktuellen Firmwaren für die gängigen Fritzboxen, z.B. 7390 sind ein und die selbe und enthalten eben mehrere Branings (1und1, otwo, avm). Das Update auf die xx.06.03 oder höher kannste sofort selber durchführen.
Hingegen wenn Du z.B. ewetel-User bist, hast Du eine speziell für ewetel erweiterte Firmware auf der Fritzbox/Multibox, auch wenn es die gleiche Hardware wie die im Handel erhältlichen 7390 oder 7360 ist. Diese Fritzboxen lassen sich mit AVM-Mitteln, also den normalen Firmwaren oder Recovery.exes nicht einfach zur „normalen“ Fritzbox umflashen. Da braucht es Tools wie z.B. das ruKernelTool.
Wie schnell Ewetel oder auch die Kabel-Anbieter die speziell für sie entwickelten und nun gepatchten Firmwaren zur Verfügung stellen, weiß ich nicht. Ich habe nur gehört, dass daran gearbeitet wird. Aber meist zieht das dann noch interne Tests bei den Providern nach sich, bis der Rollout passiert, also die Kunden damit versorgt werden. Soviel zur Theorie.
happy computing
Unsere österreichische 7270 Fritzbox mit Firmware 54.05.51 erhielt eben ein Update auf 54.05.52 😉
@ Jo laut AVM ist die 7170 nicht betroffen, und in deinen Thread ist eigentlich nur über Myfritz die Rede….
Ich habe selber solche Boxen.
2 * 7170
1*7270v3
1*7390
@skyteddy
Ich würde die Box umflashen, da ich aber IP Telefonie habe uns mein Provider ein Staatsgeheimnis um die Telefonie Zugänge macht habe ich derzeit keine Chance.
@svenp:
– Das Auslesen der Zugangsdaten ist evtl mit dem ruKernelTool möglich
– Braucht man die Zugangsdaten nicht explizit im Klartext, denn es reicht die vorher (also jetzt) mit Passwort gesicherten Einstellungen nach dem Umflashen wieder einzuspielen bzw. teilweise zu übernehmen.
Siehe auch:
http://service.avm.de/support/de/skb/FRITZ-Box-7390/4:Einstellungen-der-FRITZ-Box-sichern-und-wiederherstellen
Und ja, man kann auch jederzeit wieder die Ewetel-Firmware (zurück)flashen
Zitat : von Thomas
Thomas 9. Februar 2014 um 16:50 Uhr
@ Jo laut AVM ist die 7170 nicht betroffen, und in deinen Thread ist eigentlich nur über Myfritz die Rede….
Ich habe selber solche Boxen.
2 * 7170
1*7270v3
1*7390
Hi Thomas
Wo kann man… dies nachlesen hast du einen Link zu Quelle ?
Die 7170 ist sehr wohl betroffen.
AVM hat heute zumindest eine deutsche Firmware
FRITZ.Box_Fon_WLAN_7170.29.04.88.image
rausgebracht. Neue, internationale Firmware für die 7170 habe ich bisher noch nicht gesehen.
Außerdem gab es heute noch:
– fritz.box_wlan_3270.67.05.54.image
– fritz.box_wlan_3270_v3.96.05.54.image
Hallo @skyteddy
Danke vor einer halben Stunde war noch nichts da.
Gerade mal das Update gemacht alles wieder easy.
Für meine 7270 v3 gibt es nun von AVM auf dem FTP-Server ftp://ftp.avm.de/fritz.box/beta/ eine Beta-Firmware (Labor.74.06.04-27396) aus dem AVM-Labor mit Datum 10.02.2014.