Heimnetzwerke - WIFI, LAN, Router und Co 16.535 Themen, 81.366 Beiträge

Aktuelles FRITZ!Box- Update kritisch betrachtet

angelpage / 15 Antworten / Baumansicht Nickles

Auch in Nickles spielt ja der "Angriff" auf die FRITZ!Box eine herausragende Rolle und löste fast immer unberechtigt Panik aus.

Jeder, der wenigstens einmal in die Bedienungsanleitung geschaut hat, kann die Methoden, Dienste und Verfahrensweisen für die Fernsteuerung und den Fernzugang herauslesen (oder eben auch bewußt einstellen).

Vereinfacht aber: Der Zugang dazu aus dem Internet muß ausdrücklich freigegeben sein (Portfreigabe 443), zusätzlich benötigt man die aktuelle öffentliche IPv4- Adresse, ein bis mehrere gültige Passwörter und genau die bei der Einrichtung von MyFRITZ verwendete eMail- Adresse, um Zugang auf die FRITZ!Box und ihre Dienste/ Features zu erhalten. Ein Zugang ohne diese Angaben war bisher auch nicht möglich. Super!

Bisher kursierten aber Gerüchte, und auch AVM sieht in seiner bisherigen Argumentation immer noch recht hilflos aus.

Natürlich kann der Zugang aus zwei Gründen erlaubt sein:

Der FRITZ!Box- Nutzer braucht das so, weil er die FRITZ!Box und ihre Dienste aus der Ferne managen will (als berechtigter Administrator über große Entfernungen),

oder aber

weil ein Laie ohne Mindestkenntnisse in der Box die "Expertenansicht" aktiviert und zusätzlich -entgegen dem Handbuch- unqualifiziert verstellt hat.Das kann allerdings auch beim Auto (Bremse/Gas verwechselt) passieren, ohne daß der Fahrzeughersteller dafür verantwortlich gemacht wird oder das sogar gleich umbauen läßt Cool.

Heute wurde per eMail ein dringendes "Update auf FRITZ!OS 6.03" durch AVM angeboten.

Zitat: "Die in den letzten Tagen aufgetretenen Angriffe auf die FRITZ!Box wurden nachvollzogen. Die Täter haben über den Port 443 einen Angriff durchgeführt und sind so in die FRITZ!Box eingedrungen. Dabei konnten auch Passwörter entwendet werden." Klar, wer als Admin in der Box drin ist, kann auch alles auslesen. Wen wundert das aber?

Nichts jedoch schreibt AVM über tatsächliche Ursachen? und deren zukünftige Vermeidung. Lapidar heißt es:

"Neue Features:  - Sicherheit: Unberechtigte Zugriffsmöglichkeit auf FRITZ!Box behoben. Beachten Sie dringend die aktuellen Hinweise unter www.avm.de/sicherheit
- ab FRITZ!OS 6.01:
- WLAN-Gastzugang neu als "Privater Hotspot"
- Live TV mit Tablet, Notebook und Smartphone ansehen
- Kindersicherung mit einem gemeinsamen Budget für mehrere Geräte
- Einfacher, übersichtlicher, informativer - erweiterte Push Services informieren automatisch per E-Mail
- MyFRITZ!-Zugang zu Sprachnachrichten, Smart Home und FRITZ!NAS für mobile Geräte erneuert
- Smart Home jetzt noch komfortabler und mit mehr Informationen
- FRITZ!Fon mit Mediaplayer und vieles mehr
- Neues für Telefonie: Unterstützung für Gegensprechanlagen und SIP-Anlagenanschluss
- Mediaserver erweitert um neue Cloud Services
- Diagnosefunktion überprüft DSL, Internet und Heimnetz
- Vereinfachte Einrichtung von VPN, optimiert für iOS-Tablets und -Smartphones".

Liest sich super, hat nur mit dem "Unberechtigten" Zugang wirklich nicht viel zu tun.

Überlegt doch mal: Wer über alle Zugangsdaten verfügt, egal auf welchem Weg er sie beschafft hat, ob als Admin, als Geheimdienstspitzel oder simpler Hacker, wird doch technisch automatisch zum "Berechtigten".

Entweder war alles ein Fake oder aber AVM muß noch "liefern"!

bei Antwort benachrichtigen
Oliver55 angelpage „Aktuelles FRITZ!Box- Update kritisch betrachtet“
Optionen

Moin angelpage,

ich glaube nicht, dass das ein "Fake" war/ist. Und ich glaube auch nicht, dass AVM die Fernwartung wieder frei geben würde, ohne die Gewissheit zu haben, dass sie das auch wirklich können. Nebenbei gibt es dieses Update in einem Paket mit weiteren Ratschlägen zur Sicherheit. Ich persönlich habe auch gar nicht mit einer detaillierten Aufklärung zur Fehlerbehebung gerechnet. Ich denke aber, AVM wird nun wissen, dass auch Fritz-Boxen in Zukunft von kriminellen häufiger als bisher auf Schwachstellen durchleuchtet werden dürften.

Gruß Olli

bei Antwort benachrichtigen
Proldi angelpage „Aktuelles FRITZ!Box- Update kritisch betrachtet“
Optionen
Beachten Sie dringend die aktuellen Hinweise unter www.avm.de/sicherheit - ab FRITZ!OS 6.01:

Die neue Version ist aber die FRITZ!OS 6.03 (113.06.03).

-------------- Gruß Proldi
bei Antwort benachrichtigen
angelpage Proldi „Die neue Version ist aber die FRITZ!OS 6.03 113.06.03 .“
Optionen

Immer langsam lesen - ich hatte das getan, weil ich ja die wirklichen Ursachen und realisierten Veränderungen wissen wollte.

Die von AVM kopierten Informationen verwirren tatsächlich etwas, aber man kann sie auch so interpretieren, daß fürs Update mindestens Fritz-OS 6.01 notwendig ist (es gab ja vorher noch andere).

Das bestätigt aber lediglich meine Meinung über die Hilflosigkeit (gestrickt mit heißer Nadel). Besser wohl ist es, noch etwas warten und dann auf jeden Fall eine Sicherungsdatei vor dem Update erstellen.

:

bei Antwort benachrichtigen
ABatC angelpage „Immer langsam lesen - ich hatte das getan, weil ich ja die ...“
Optionen

Hm....

Ich vermute eher, das AVM eine grundlegende Sicherheitslücke in den Boxen entdeckt hat. Jedenfalls scheint mir weder MyFritz noch ein anderer der neueren Webdienste das Problem zu sein, denn wie ich soeben gesehen habe wurde sogar für die doch recht betagte 7170 (die Box ist seit Jahren bereits aus dem Support raus) ein Sicherheitsupdate rausgegeben.

Nun hat diese Box aber keine der neuen Funktionen, weder MyFritz noch FritzNAS o.ä...

Wenn es sich allerdings um ein derartig schwerwiegendes Sicherheitsproblem handelt das praktische ALLE Boxen im Umlauf betrifft kann ich auch durchaus verstehen, das AVM nicht sofort alle Details dieser Lücke herausposaunt - erfahrungsgemäss wird es Monate bis Jahre dauern bis dieses Update breitflächig verteilt ist, und in der Zeit wären die betroffenen ungepatchten Boxen den Angriffen schutzlos ausgeliefert. Da erzählt man nicht auch noch rum wie man die Dinger genau knackt...

bei Antwort benachrichtigen
torsten40 ABatC „Hm.... Ich vermute eher, das AVM eine grundlegende ...“
Optionen
Ich vermute eher, das AVM eine grundlegende Sicherheitslücke in den Boxen entdeckt hat

Oder einfach nur vorgetäuscht. Beim 5.50 OS war keine BPJM Sperrliste vorhanden. Zumindest jetzt nicht, dass ich mich dran erinnere.

Freigeist
bei Antwort benachrichtigen
ABatC torsten40 „Oder einfach nur vorgetäuscht. Beim 5.50 OS war keine BPJM ...“
Optionen

Die BPJM-Sperrliste ist kein Geheimnis. Ist Bestandteil der Kindersicherung und kann bei den Zugangsprofilen für die Kindersicherung aktiviert oder deaktiviert werden. Standardmässig ist sie  übrigens deaktiviert, auch wenn das Modul sich die Listenupdates holt. Da es sich um die Bundesprüfstelle für jugendgefährdende Medien handelt (BPJM) ist ein Zusammenhang mit der Kindersicherung doch recht naheliegend :-)

Diese Funktion ist übrigens schon mind. seit FritzOS 5.59 drin AFAIR.

Nebenbei haben viele der älteren, jetzt ebenfalls aktualisierten Boxen diese Funktion nicht. Kann von daher auch nicht an dem Problem beteiligt sein.

Ergänzung:

http://www.bundespruefstelle.de/bpjm/Aufgaben/Listenfuehrung/bjpm-modul.html

bei Antwort benachrichtigen
Tom West angelpage „Immer langsam lesen - ich hatte das getan, weil ich ja die ...“
Optionen

Das Update 6.0 bzw. 6.01 wurde erst vor Kurzem freigegeben. Bei vielen, die einen "Zwangsrouter" haben, wurde dieses Update (z.B. 1und1) noch gar nicht eingespielt, so dass der etwas missverständliche Hinweis auf 6.01 auch noch in Deiner Mail zusätzlich zur Versionsangabe 6.03, die das Update zum kritischen Fehler darstellt, enthalten ist.

Es wurden u.a. zwischenzeitlich auch ein Update - heute - zur "alten" 7170 freigegeben. Bei dieser gibt es die Version 6.x nicht, sondern "nur" das Update 29.04.88 mit dem einzigen Hinweis: "Neue Features: - Sicherheit: Unberechtigte Zugriffsmöglichkeit auf FRITZ!Box behoben. Beachten Sie dringend die aktuellen Hinweise unter www.avm.de/sicherheit"

Dass hier AVM nicht im Einzelnen, das werden sie wohl auch nicht tun, auf die Sicherheitslücke eingeht, dürfte unter anderem daran liegen, dass noch nicht für alle Modelle ein Update bereitsteht.

Sehr löblich im übrigen von AVM auch für "Uralt"-Modelle Updates zur Verfügung zu stellen und in so kurzer Zeit. Da kenn ich einiges anderes.

bei Antwort benachrichtigen
Tom West Nachtrag zu: „Das Update 6.0 bzw. 6.01 wurde erst vor Kurzem freigegeben. ...“
Optionen

Tse,tse,

da hat wieder irgendwas mit meinem Cache nicht hingehauen. ABatC hat das Wesentliche schon gesagt

bei Antwort benachrichtigen
gelöscht_238890 Tom West „Das Update 6.0 bzw. 6.01 wurde erst vor Kurzem freigegeben. ...“
Optionen
Das Update 6.0 bzw. 6.01 wurde erst vor Kurzem freigegeben. Bei vielen, die einen "Zwangsrouter" haben, wurde dieses Update (z.B. 1und1) noch gar nicht eingespielt,

Da muss ich wohl 1&1 mal etwas in Schutz nehmen.

Solche pauschalen Urteile helfen niemand, bevor man so etwas aus der Feder lässt, sollte man sich etwas schlauer machen.

Meine Fritzbox von 1&1 läuft mit FRITZ!OS 06.03, und darauf nimmt, afaik, 1&1 keinen Einfluss.

bei Antwort benachrichtigen
gelöscht_305164 gelöscht_238890 „Da muss ich wohl 1 1 mal etwas in Schutz nehmen. Solche ...“
Optionen
Da muss ich wohl 1&1 mal etwas in Schutz nehmen.

Jau.

Ob 1 + 1 ein Update für meine uralte 7270v2 anbietet, ist mir nicht bekannt. Hat AVM gemacht.

Der Port 443 ist allerdings seit ewigen Zeiten dicht, daher war meine Anlage wohl nicht gefährdet.

bei Antwort benachrichtigen
ABatC Tom West „Das Update 6.0 bzw. 6.01 wurde erst vor Kurzem freigegeben. ...“
Optionen

1&1 verwendet keine Zwangsrouter. An dem Anschluss läuft jeder Router.

Zwangsrouter werden z.B. von den meisten Kabelprovidern verwendet. Bei Unitymedia oder Kabel Deutschland wäre das u.a. die FritzBox 6360. Dafür gibt es auf der Homepage von AVM keinen Support, die Firmware wird über den Kabelprovider zwangsupgedated (man hat da 0 Einfluss drauf). Und man kann auch keinen anderen Router als den vorgegebenen verwenden.

Und ein Update kann da in der Tat länger dauern.

bei Antwort benachrichtigen
angelpage Tom West „Das Update 6.0 bzw. 6.01 wurde erst vor Kurzem freigegeben. ...“
Optionen

@Tom West: Mir geht es "nur" um zwei Dinge, nicht um Philosophien:

1. Eine ehrliche, fachlich nachvollziehbare Ursache (schließlich gehts nur um Einsen und Nullen, da kann man nicht herumeiern) und

2. Was leistet das Update dazu.

Zum ersten gibts bereits Gerüchte, dass der Zugang aus dem Internet über geöffneten Port völlig ohne Passwörter möglich war. Das habe ich nicht selbst geprüft, da ich immer Passwörter verwendet habe. Dann sollte AVM das öffentlich sagen: Firmwarefehler, dieser Zugang wurde so geschlossen, wie es das Handbuch schon immer verspricht.

Zum zweiten wird ein gewaltiges Update (siehen das Zitat oben) empfohlen, das offensichtlich sowieso bereit lag. Was aber ist die Lösung für das Sicherheitsproblem?

Gestern war früh der Server überlastet, meine Box blieb einfach beim Download des Updates hängen und mußte manuell gestartet werden. Für VoIP- Telefone nicht günstig.

Obwohl das Update dann incl. Download vormittags erfolgreich? eingespielt wurde (ohne zu wissen, was das Teil tut!), kam gestern abend eine weitere Mail mit der Aufforderung zum Update.

Mann, und genau das passt wiederum zur Überschrift in diesem Thread. Und als Nutzer darf ich da nicht begeistert sein!

bei Antwort benachrichtigen
ABatC angelpage „@Tom West: Mir geht es nur um zwei Dinge, nicht um ...“
Optionen

Also ehrlich, langsam wird es bei dir etwas albern...

Zum ersten gibts bereits Gerüchte, dass der Zugang aus dem Internet über geöffneten Port völlig ohne Passwörter möglich war

Das ist soweit kein Gerücht. Wenn man eine Box im Netz gefunden hat mit aktiviertem Fernzugang konnte man ohne die Passwörter zu kennen Zugriff auf die Box bekommen. Mit einem offenen Port allein kommt man da aber nicht weit, die Box muss auch auf dem Port reagieren (was sie nur tut bei aktiviertem Fernzugriff).

Dann sollte AVM das öffentlich sagen: Firmwarefehler, dieser Zugang wurde so geschlossen, wie es das Handbuch schon immer verspricht.

Sagt AVM doch eindeutig in den Infos zum Update: Sicherheitslücke geschlossen. AVM hat ebenfalls angekündigt die Sicherheitslücke genauer zu beschreiben sobald die Updates entsprechende Verbreitung gefunden haben und man kein Risiko mehr eingeht (auch sehr vernünftig!!).

Zum zweiten wird ein gewaltiges Update (siehen das Zitat oben) empfohlen, das offensichtlich sowieso bereit lag. Was aber ist die Lösung für das Sicherheitsproblem?

Wieso gewaltig? Es wird immer ein Image der kompletten Firmware geschrieben, selbst wenn sich nur ein paar Zeilen Code geändert haben sollten. Und wieso bereit lag? AVM hat erst tagelang überhaupt die Ursache gesucht und dann übers Wochenende Box für Box die Updates rausgegeben.

Gestern war früh der Server überlastet, meine Box blieb einfach beim Download des Updates hängen und mußte manuell gestartet werden. Für VoIP- Telefone nicht günstig

In der Tat war gestern AVM etwas überlastet. Irgendwie aber auch verständlich wenn Tausende von Nutzern ein Update ziehen...

Obwohl das Update dann incl. Download vormittags erfolgreich? eingespielt wurde (ohne zu wissen, was das Teil tut!), kam gestern abend eine weitere Mail mit der Aufforderung zum Update.

Kam die Mail von der Box oder über den AVM-Newsletter? AVM hat gestern einen Newsletter verschickt und alle Abonenten noch einmal auf das Update hingewiesen. Können die ja nicht wissen das du so schnell warst :-)

nd als Nutzer darf ich da nicht begeistert sein!

Hm...ich bin eigentlich von AVM ziemlich begeistert. Ein bisher unbekanntes Sicherheitsproblem wird an den Hersteller gemeldet, der geht damit offensiv um und warnt sofort alle Kunden (inkl. temporären Sicherheitsmassnahmen bis ein Update verfügbar ist), findet doch recht flott den Fehler und bringt ebenfalls in Rekordzeit für über 30 unterschiedliche Routermodelle (und übers Wochenende!) die Firmwareupdates raus. Dazu noch für alte Modelle, deren Support bereits seit Jahren eigentlich eingestellt ist. Welcher Hersteller macht so was bitte heutzutage???

bei Antwort benachrichtigen
angelpage ABatC „Also ehrlich, langsam wird es bei dir etwas albern... Das ...“
Optionen

@ABatC: Es gibt bei Sicherheit keine Albernheit.

Unter Beachtung der Herausgabetermine von "Meldungen", vorwiegend als oberflächliche gegenseitige Kopien, und viele Vermutungen über einen Zusammenhang mit anderen Schlampereien "geknackte Zugangsdaten - eMails- Adressen, Passwörter ..." ist die offizielle Informationspolitik von AVM ungenügend.

Und mal ehrlich, an welcher Stelle hat AVM bis heute diese bereits etwas klarere Aussage "Wenn man eine Box im Netz gefunden hat mit aktiviertem Fernzugang konnte man, ohne die Passwörter zu kennen, Zugriff auf die Box bekommen." So heißt es doch nur: "Die Täter haben über den Port 443 einen Angriff durchgeführt und sind so in die FRITZ!Box eingedrungen." In Wirklichkeit sind die "Täter" nicht "eingedrungen", sondern haben gewollt oder sogar zufällig ein "offenes Scheunentor" betreten. Die Sicherheit war bisher nicht gewährleistet.

Und seitdem bekannt ist, daß NSA und Co., aber auch viele Hersteller und Provider selbst in Hardware und Firmware ihre Backdoors einbringen (FRITZ! verwendet ja sogar mehrere unterschiedliche ausländische Schaltkreise), interessiert  die Ursache schon etwas genauer.

Den umfassenden Inhalt dieses Updates (für viele Features außerhalb der speziellen Zugangssicherheit, die wohl nicht nur "am Wochenende" erfunden wurden) kannst du bei AVM nachlesen, ich hatte ihn oben vollständig zitiert.AVM verspricht natürlich über seine unschlagbar hohen Preise auch einen besonderen Support. Und ich selbst nutze deshalb sogar mehrere unterschiedliche FRITZ!Boxen, u.a. auch mit MyFritz.

bei Antwort benachrichtigen
ABatC angelpage „@ABatC: Es gibt bei Sicherheit keine Albernheit. Unter ...“
Optionen
Den umfassenden Inhalt dieses Updates (für viele Features außerhalb der speziellen Zugangssicherheit, die wohl nicht nur "am Wochenende" erfunden wurden) kannst du bei AVM nachlesen, ich hatte ihn oben vollständig zitiert

Du solltest die Updateliste mal korrekt lesen:

Im aktuellen Update auf FritzOS 6.03 wurde NUR die Sicherheitslücke geflickt. Alle anderen genannten Punkte waren Bestandteil des 6.01 Updates (wie AVM mit 'seit 6.01 auch schreibt') und werden von AVM nur zusätzlich noch aufgelistet, AFAIK weil alle frisch verkauften Boxen mit älteren Versionen ausgeliefert werden und die Kunden so auf die zusätzlichen Funktionen der Zwischenreleases hingewiesen werden sollen.

Das die Meldungen in den Nachrichten teilweise oberflächlich und widersprüchlich sind hat sicher nicht AVM zu verantworten - so hat z.B. die Bildzeitung in einer Nachricht aus dem Fernzugriff den Faxzugriff als Schwachstelle gemacht. Merke: auch abschreiben von Pressemitteilungen kann schwer sein...

Zu der Informationspolitik: wäre es dir lieber, wenn AVM hier und jetzt genau die Schwachstelle beschreibt, wo sie liegt, welche Funktionen betroffen sind und wie sie die geflickt haben, und in den nächsten Wochen lesen wir wieder von massenhaft geknackten Boxen und horrenden Telefonkosten weil wieder ein grosser Teil der Bevölkerung nichts mit bekommen hat? AVM hat gesagt sie werden die Informationen nachreichen sobald die Sicherheit gewährleistet ist. Warte doch erst mal ab...

bei Antwort benachrichtigen