AVM Fritz!box 6660 - Kritische Sicherheitslücken -...

Daneben80 · ‎07.12.2021

Hallo zusammen,

inzwischen wurden einige Lücken in der AVM Firmware gefunden und auch schon von AVM behoben, doch wo bleibt die FIrmwarefreigabe von Vodafone?

Aktuell ist auf der AVM Fritz!Box 6660 nur die Firmware 7.22 freigegeben, die diese bestätigten Lücken noch enthält.

Gruß

Daniel

reneromann · ‎07.12.2021

Die Freigabe kommt, wenn die Firmware getestet und für stabil befunden wurde. Das kann durchaus noch einige Wochen dauern.

Wenn dir das zu lange dauert => eigene FritzBox kaufen!

xxMarkusxx · ‎07.12.2021

Top Antwort

Daneben80 · ‎12.12.2021

Hallo,

laut AVM ist die Firmware verwundbar gegen FragAttack. Dies ist erst in der 7.27 geschlossen:

Release Notes der 7.27:

Schwachstellen in der Behandlung eingehender fragmentierter Pakete sowie aggregierter MPDUs (A-MPDU) behoben ("Fragattack")

Ich glaub ich werde mal das BSI informieren.

Vielleicht bewirken die was.

Könnt ihr ja auch - ich denke umsomehr beschwerden umso mehr können die auf Vodafone einwirken.

Gruß

Daniel

MasterScorpion · ‎12.12.2021

Und diese bekommen die gleiche Antwort.

FW Updates werden geprüft und dann erst freigegeben.

In fancier Words aber der gleiche Inhalt.

Wenn dir Sicherheit so wichtig ist - mehr als 5€ im Monat - kümmerst du dich selbst darum.

Mystery Link

reneromann · ‎12.12.2021

@Daneben80 schrieb:

Hallo,

laut AVM ist die Firmware verwundbar gegen FragAttack. Dies ist erst in der 7.27 geschlossen:

Release Notes der 7.27:

Schwachstellen in der Behandlung eingehender fragmentierter Pakete sowie aggregierter MPDUs (A-MPDU) behoben ("Fragattack")

Diese Schwachstelle ist aus mehreren Gründen eher eine Schwachstelle theoretischer Natur und der Fix hilft dir nicht wirklich weiter:

a) Um Frag Attacks nutzen zu können, muss der Angreifer in Sendereichweite deines Netzwerkes sein

b) Um Frag Attacks nutzen zu können, muss es anfällige Geräte geben - das betrifft nicht nur Router, sondern auch andere Geräte im Netzwerk -- und gerade bei Embedded Systemen (SmartHome lässt grüßen) und älteren WLAN-Chipsätzen wirst du für Frag Attacks kein Firmware-/Treiberupdate bekommen, ergo bleibt dein Netz dann trotz Update der FritzBox angreifbar.

@Daneben80 schrieb:

Ich glaub ich werde mal das BSI informieren.

Vielleicht bewirken die was.

Nein, das bewirkt nichts - weil Vodafone dann entgegenen wird, dass eine Prüfung der Firmware notwendig ist, damit sichergestellt werden kann, dass der Rollout nicht eine große Anzahl an Kundenanschlüssen gefährdet. Es wäre nicht das erste Mal, dass AVM Bugs reingebaut hat, die z.T. so schwer waren, dass die Boxen anschließend nicht mehr in's Netz kamen. Ich erinnere mal an die 6.8x-Serie, wo de facto erst die 6.85 brauchbar war, nachdem in der 6.81 oder 6.82 ein krasser Bug in der DS-Lite-Implementierung enthalten war, wodurch die betroffenen Geräte gar nicht mehr online gehen konnten.

@Daneben80 schrieb:

Könnt ihr ja auch - ich denke umsomehr beschwerden umso mehr können die auf Vodafone einwirken.

Ich werde mich hüten - ich will eine funktionierende Box und nicht Betatester von AVM sein.

Wenn du gerne Betatester von AVM sein willst, kauf dir eine freie FritzBox und installiere die Firmwares selbst.

Und für Frag Attacks gibt's auch eine einfache Umgehungsmöglichkeit: WLAN deaktivieren - insbesondere solange nicht klar ist, ob nicht auch andere Geräte von dem Bug betroffen sind (z.B. WLAN-Drucker oder SmartHome-Appliances).

Daneben80 · ‎12.12.2021

Hallo zusammen,

es geht nicht um "Betafirmware". Es geht um SIcherheitsupdates und die Firmware 7.27 wurde bereits im Mai veröffentlicht.

D.h. über ein halbes Jahr ist schon die Sicherheitslücke auf - dass kann sich keiner mehr mit "muss noch getestet werden" rausreden.

Es geht dabei nicht nur um meine Sicherheit sondern um die x-tausend Nutzer da draussen.

Gruß

Daniel

reneromann · ‎12.12.2021

@Daneben80 schrieb:

es geht nicht um "Betafirmware".

Die 6.8x waren auch keine Beta-Firmware, sondern Release-Versionen - haben aber trotzdem zu den Problemen geführt.

@Daneben80 schrieb:

Es geht um SIcherheitsupdates und die Firmware 7.27 wurde bereits im Mai veröffentlicht.

Und wenn die 7.27 dieses Problem schließt, dafür aber neue Probleme aufreißt, die z.T. die Internetverbindung unbenutzbar machen, hilft dir das Deploy der 7.27 rein gar nichts. Ganz im Gegenteil - dann würden die Leute rumheulen, wie so ein Müll deployed werden kann, der vorne und hinten nicht getestet ist und die Anschlüsse ausbremst oder gar unbenutzbar macht.

@Daneben80 schrieb:

D.h. über ein halbes Jahr ist schon die Sicherheitslücke auf - dass kann sich keiner mehr mit "muss noch getestet werden" rausreden.

Die Sicherheitslücke gibt es nicht erst seit Mai, sondern schon viel länger - komischerweise hat das aber vor Veröffentlichung niemand interessiert, denn ansonsten hätte AVM das nicht erst nach Veröffenltichung gepatched - und davon abgesehen zeigt dies ja, dass AVM nicht mal vernünftige Tests im Quellcode hat, wenn sie für das Problem anfällig waren.

@Daneben80 schrieb:

Es geht dabei nicht nur um meine Sicherheit sondern um die x-tausend Nutzer da draussen.

Schalte WLAN aus, schon hast du das Problem nicht mehr. WLAN war und ist schon immer ein Sicherheitsrisiko - nicht erst seit FragAttacks oder KRACK so.

Und wenn auch nur EIN anderes Gerät in deinem Netzwerk das Problem ebenfalls hat und keinen Bugfix bekommt - was gerade bei älteren Android- und iOS-Geräten sowie bei Embedded-Geräten und SmartHome-Geräten oft der Fall ist, hilft dir der Fix der FritzBox gar nichts - das WLAN ist und bleibt dann anfällig.

Mal davon abgesehen, dass derzeit für die 6591 bereits die 7.29 ausgerollt wird -- mich würde es nicht wundern, wenn es bei der 6660 ebenfalls die 7.29 statt der 7.27 wird.