Sicherheitslücke (bereits aktiv genutzt) FritzBox ...

Harrypotter06 · ‎05.09.2023

Guten Tag,

für die FritzBox 6690 Cable gibt es von AVM ein Sicherheitspatch (Version 7.57).
Bei Vodafone ist immer noch die Version 7.29 im Einsatz.

Es handelt sich um eine kritische Sicherheitslücke die von Hackern bereits aktiv ausgenutzt wird und mit denen die Hacker die volle Kontrolle der Fritzbox übernehmen können. Tja, was tut Vodafone? Nichts!

AdlerAuge · ‎05.09.2023

Doch sie passen zuerst die Firmware ihren Geräten an und das kann leider etwas dauern, daher weiß auch keiner wann und wie lange noch.

Habe noch etwas Geduld.

reneromann · ‎05.09.2023

Zumindest für die 6591 ist die 7.56 schon seit einigen Wochen in der generellen Ausrollung...

Davon abgesehen: Um was für eine "kritische Sicherheitslücke, die von Hackern bereits aktiv ausgenutzt wird", handelt es sich denn überhaupt?

Kurtler · ‎05.09.2023

@reneromann

Die vermutete Schwachstelle ermöglicht es offenbar, die Konfiguration des Geräts über die Exponierung von Internetports zu ändern. Der Hauptverdacht konzentriert sich auf die Freigabe des Ports 443 für den Remote-Zugriff auf den Router, was eine gemeinsame Eigenschaft bei den betroffenen Opfern zu sein scheint, wie von AVM angeblich selbst mitgeteilt wurde. Einige Quellen behaupten jedoch, dass auch Port-Weiterleitungen ausreichen könnten, während andere berichten, dass Geräte mit geschlossenem Port 443 betroffen seien und alternative Ports für diese Funktionen verwenden würden

Bitte keine Anfragen über PN stellen!

Stefan-Sz · ‎05.09.2023

Update erfolgte bei mir in der Nacht auf heute.

ET0099 · ‎06.09.2023

Sorry, aber das immer immer die gleiche Ausrede. Eigentlich müsste man für einen derart miesen Service alle kündigen.
Letztendlich müssen wir Endkunden Monate bzw. tw. jahrelang mit gravierenden Sicherheitslücken leben, weil Vodafone nicht kann oder möchte.

ET0099 · ‎06.09.2023

letzte Nacht war eine Wartung im Vorfeld eine Woche vorher angekündigt (Raum Mettmann, Metzkausen), laut eventlog letzte Nacht auch kurz Internet getrennt und neu verbunden, aber Firmware (wie zu erwarten) weiterhin uralt Version 7.29.
Vodafone, ihr seid bei diesem Thema wie immer viel zu langsam. Spätestens wenn ihr auch die letzten Kabel-Kunden an Deutsche Glasfaser und Co verloren habt, wisst wir eventuell warum ....

reneromann · ‎06.09.2023

@Kurtler schrieb:

@reneromann

Die vermutete Schwachstelle ermöglicht es offenbar, die Konfiguration des Geräts über die Exponierung von Internetports zu ändern. Der Hauptverdacht konzentriert sich auf die Freigabe des Ports 443 für den Remote-Zugriff auf den Router, was eine gemeinsame Eigenschaft bei den betroffenen Opfern zu sein scheint, wie von AVM angeblich selbst mitgeteilt wurde. Einige Quellen behaupten jedoch, dass auch Port-Weiterleitungen ausreichen könnten, während andere berichten, dass Geräte mit geschlossenem Port 443 betroffen seien und alternative Ports für diese Funktionen verwenden würden

Da der Zugriff von außen auf die Konfigurationsoberfläche, sofern die entsprechende Option aktiviert wurde, ja wissentlich vom Nutzer freigegeben wurde, ist das erst einmal per se keine Sicherheitslücke. Wenn überhaupt wäre es eine Sicherheitslücke, wenn AVM dann bei der Authentifizierung der Zugriffe einen Bock geschossen hat, so dass die Box die Authentifizierung des Zugriffs nicht oder nicht korrekt prüft.

Wobei es in dem Fall die einfache Möglichkeit gibt, diesen externen Zugriff zu deaktivieren -- und die Frage ist dabei eh, was die Konfigurationsseite (oder auch andere Geräte aus dem lokalen Netz) direkt im Internet zu suchen haben; für den Zugriff auf das Heimnetz gehört da IMMER ein VPN davor, welches die Authentifizierung und vor allem auch die Verschlüsselung der Daten sicherstellt!

reneromann · ‎06.09.2023

@ET0099 schrieb:

Sorry, aber das immer immer die gleiche Ausrede. Eigentlich müsste man für einen derart miesen Service alle kündigen.

Dann mach's doch und kauf dir eine eigene Box. Es zwingt dich doch niemand, die von Vodafone gestellte Leihhardware zu benutzen - und zwar schon seit über 7 Jahren nicht mehr!

@ET0099 schrieb:

Letztendlich müssen wir Endkunden Monate bzw. tw. jahrelang mit gravierenden Sicherheitslücken leben, weil Vodafone nicht kann oder möchte.

Du musst mit gar nichts leben - kauf dir einen eigenen Router und du bist selbst Herr im Haus!

Davon abgesehen: Wer sagt denn, dass das "Monate bzw. tw. jahrelang" dauert? Insbesondere bei kritischen Sicherheitslücken war VF schon immer deutlich schneller bei der Verteilung der Updates -- nur wird man diese nicht an Tag 1 -an dem selbst die AVM-Server unter der Last der DSL-Boxen zusammenbrechen- ebenfalls mit verteilen.

reneromann · ‎06.09.2023

@ET0099 schrieb:

letzte Nacht war eine Wartung im Vorfeld eine Woche vorher angekündigt (Raum Mettmann, Metzkausen), laut eventlog letzte Nacht auch kurz Internet getrennt und neu verbunden, aber Firmware (wie zu erwarten) weiterhin uralt Version 7.29.

Die Wartung hat nichts mit dem Ausrollen der Firmware zu tun! Firmwareausrollung passiert ohne Wartung vom Kabelnetz und findet ohne vorherige Ankündigung und Benachrichtigung des Nutzers statt.

Was du hingegen eher mal machen solltest: Neustarten der Box - weil die Boxen selbst bei einer Trennung der Internetverbindung z.T. nicht automatisch nach einem Update suchen.

@ET0099 schrieb:

Vodafone, ihr seid bei diesem Thema wie immer viel zu langsam.

Es zwingt dich doch niemand, die Leihgeräte einzusetzen. Kauf dir 'ne eigene Kabel-FritzBox und du bestimmst selbst, wann du welches Update wie einspielst.

@ET0099 schrieb:

Spätestens wenn ihr auch die letzten Kabel-Kunden an Deutsche Glasfaser und Co verloren habt, wisst wir eventuell warum ....

Klar, lieber gehen die Kunden zur Deutschen Glasfaser, die z.T. völlig überbuchte AFTR-Gateways hat und oben drein KEINE Umstellung auf DualStack vorsieht - nicht mal für Business-Tarife. Und das zu zum Teil homöophatischen Preisen zum Abgewöhnen...