AVM: FRITZ!Box-Router angreifbar // Update erforderlich [Upd.]

andere
Bild von TSH-Lightning
TSH-Lightning 6916 EXP - 17 Shapeshifter,J10
Dieser User unterstützt GG seit einem Jahr mit einem Abonnement.Alter Haudegen: Ist seit mindestens 5 Jahren bei GG.de registriertFROGG: Als "Friend of GamersGlobal" darf sich bezeichnen, wer uns 25 Euro spendet.GG-Gründungsfan: Hat in 2009 einmalig 25 Euro gespendetAlter Haudegen: Ist seit mindestens 3 Jahren bei GG.de registriertSilber-Jäger: Hat Stufe 10 der Jäger-Klasse erreichtDieser User hat uns zur TGS 2016 Aktion mit einer Spende von 50 Euro unterstützt.Dieser User war bei der Dark Souls 3 Aktion unter den Top 20 der Spender.Dieser User hat uns zur Dark Souls 3 Aktion mit einer Spende von 66 Euro unterstützt.Dieser User hat uns zur Dark Souls 3 Aktion mit einer Spende von 10 Euro unterstützt.Dieser User hat uns an Weihnachten 2015 mit einer Spende von 5 Euro unterstützt.Dieser User hat uns an Weihnachten 2014 mit einer Spende von 25 Euro unterstützt.

19. Februar 2014 - 23:19

Update vom 19.2.2014:

Die Firma AVM hat heute eine Liste aller FRITZ!Box-Modelle samt ihres jeweiligen Sicherheitsstatus' veröffentlicht. Es wird aufgeführt, welche Geräte betroffen waren, für welche Updates bereit stehen und ob diese manuell oder automatisch vom Provider installiert werden müssen. Mittlerweile stehen für alle verwundbaren Geräte neue Firmwareversionen zur Verfügung.

Auch die Deutsche Telekom hat für vier Speedport DSL-Router aktualisierte Firmwareversionen veröffentlicht. Betroffen sind hier die Modelle W 503V (Typ A), W 721V, W 722V (Typ A) und W 920V. Die Hardware der Router sind fast baugleich mit bestimmten FRITZBox!-Routern von AVM und unterscheiden sich nur durch eine angepasste Software, das Gehäuse und das Layout der Platine. Obwohl noch keine Angriffe auf Speedport-DSL-Router gemeldet wurden, solltet ihr die Geräte schnellstmöglich aktualisieren. Wenn ihr die sogenannte EasySupport-Funktion in eurem Router eingeschaltet habt, kann die Telekom das Update automatisch bei euch durchführen. Andernfalls solltet ihr die in den Quellenangaben genannte Seite der Telekom besuchen; dort findet ihr das Update zum Download, eine Anleitung und weitere Informationen.

Ursprüngliche Meldung vom 17.2.2014:

Wer zur Zeit einen FRITZ!Box-Router der Firma AVM nutzt, der hat wahrscheinlich schon von den jüngsten Sicherheitsproblemen der Geräte gehört und bereits ein Update der Firmware durchgeführt. Bisher war man davon ausgegangen, dass nur Nutzer, die die Ferneinstellungsfunktion aktiviert hatten, angegriffen werden konnten. Wie jetzt allerdings das Fachmagazin heise Security berichtet, kann jede FRITZ!Box mit veraltetem Betriebssystem über eine mit Schadcode präparierte Internetseite attackiert werden.

Mit Hilfe des Reverse-Engineering-Spezialisten Hanno Heinrichs konnte heise Security die Schwachstelle im Betriebssystem der Router finden, die von AVM selbst nicht mitgeteilt wurde. Danach ist es gelungen, über eine selbst erstellte Beispielwebseite den Router mit Schadcode erfolgreich anzugreifen (Proof-of-Concept). Dabei konnten die komplette Konfigurationsdatei, das Administrator-Passwort der FRITZ!Box und die DSL- und DynDNS-Zugangsdaten auf einen externen Server kopiert werden. Durch diese Daten könnten echte Angreifer den Router mit einem Trojaner infizieren oder in dem Router ein VoIP-Telefon einrichten, das im Minutentakt kostenpflichtige Sonderrufnummern im Ausland anruft. Derartige Angriffe sind bereits geschehen und haben in kürzester Zeit Schäden in Höhe von mehreren hundert Euro verursacht.

Wie ihr euch schützen könnt? Jeder Nutzer einer FRITZ!Box, der die Firmware noch nicht aktualisiert hat, sollte dies dringend vornehmen. Dies kann am einfachsten über den Aktualisierungs-Assistenten des Routers erfolgen. Einen Link zur Anleitung und weitere Informationen von AVM findet ihr unten in der Quellenangabe. Wer einen AVM-Router von seinem Kabelnetzbetreiber (Unitymedia/KabelBW oder Kabel Deutschland) nutzt, kann das Update nicht selbst ausführen; dies macht der jeweilige Anbieter automatisch. Da AVM fast die Hälfte aller Router in deutschen Haushalten stellt, kann man davon ausgehen, dass diese Sicherheitslücke bald Einzug in die Arsenale von Cyber-Kriminellen erhält. Bitte überprüft daher unbedingt, ob ihr betroffen seid und das Firmwareupdate eingespielt wurde.

Scytale (unregistriert) 17. Februar 2014 - 22:56 #

Router-Zwang, nur Vorteile für den Endkunden.

Spitter 12 Trollwächter - 1180 - 17. Februar 2014 - 23:18 #

Cisco Modem (Kabel) .
Konnte frei wählen. Die Fritzbox für Kabel ist nämlich nit so prickelnd.

Zugangsdaten gibt bei Kabel sowieso nimmer.

MrFawlty 17 Shapeshifter - P - 6317 - 20. Februar 2014 - 21:31 #

Da ich im Laufe der letzten Jahre andauernd Meldungen zu Sicherheitslücken in Routern verschiedener Hersteller gelesen habe, glaube ich nicht, dass es für die Sicherheit einen Unterschied machen würde, wenn sich die Kunden den Router aussuchen dürfen.
Kann alle Geräte treffen.

microwood 13 Koop-Gamer - 1491 - 17. Februar 2014 - 23:23 #

nsa update inclusive.

komisch oder? das da millionen buerger in der brd durch die medien quasi zu einem update "gezwungen" werden".

so etwas gab es noch nie.

Faerwynn 17 Shapeshifter - P - 6657 - 20. Februar 2014 - 1:33 #

Einfach nen Aluhut aufziehen und gut ist ;)

microwood 13 Koop-Gamer - 1491 - 20. Februar 2014 - 1:49 #

gute idee. danke fuer den tip!

CptnKewl 20 Gold-Gamer - - 22479 - 20. Februar 2014 - 8:54 #

der muss aber nach außen gewölbt sein - sonst ist der WLAN empfang scheisse. Bei der Wölbung nach Außen werden nur die NSA Anfragen zurückgewiesen und man crasht durch Überlast noch deren Systeme!!!!!1111

MachineryJoe 16 Übertalent - P - 4295 - 20. Februar 2014 - 9:12 #

Quatsch, der ist doch gegen Alien-Entführungen. Die NSA kann auch WLAN-Systeme hacken.

Kraten85 (unregistriert) 17. Februar 2014 - 23:41 #

Bei meiner Fritz!Box 7112 antwortet der Firmware Update assistant, dass keine Neue Firmware vorhanden ist (Ver. 87.04.87).

ist mein Router zu alt, der letzte selbständige Firmware Update durch den updater hatte die Kiste vor einer halben Ewigkeit.

TSH-Lightning 17 Shapeshifter - P - 6916 - 17. Februar 2014 - 23:53 #

Zur Zeit ist noch kein Update für die 7112 zu sehen. Aber AVM hat z.B. die 7141 heute mit einem Sicherheitsupdate versorgt. Die ist auch uralt, also stehen die Chancen nicht schlecht das da noch was für dich kommt.

Decorus 16 Übertalent - 4246 - 18. Februar 2014 - 0:05 #

Die 12er konnte - glaub ich - im Gegensatz zur 13er (für die es schon ein Update gibt) keine Analog-Telefonie, oder?
Das würde erklären, warum das Update weiter hinten auf der Liste steht.

CBR 20 Gold-Gamer - P - 20253 - 18. Februar 2014 - 8:26 #

War bei meiner 7570 über das automatische Update genauso. Auf der Website war dann eine aktuelle Version verfügbar.

Decorus 16 Übertalent - 4246 - 19. Februar 2014 - 12:40 #

Laut Liste gibt es jetzt für die 7112er ein Update.

Deep Thought 15 Kenner - 3159 - 18. Februar 2014 - 0:02 #

Bei so einer komplexen (und vielleicht sogar überfrachteten) Hardware können natürlich einmal Bugs auftreten. Wenn es blöd läuft, sogar dermaßen heftige wie im vorliegenden Fall. Da braucht es auch gar kein NSA-Verschwörungsmist o.ä. Aber dann erwarte ich ein der Situation angepasstes Krisenmanagement vom Hersteller. Und da hat AVM meiner Ansicht nach auf ganzer Linie versagt.

Das Problem in der vorliegenden Situation war, dass aufgrund der Beschwichtigungen seitens AVM Millionen Endkunden gerade nicht gepatcht haben. Wenn eine Schwachstelle in der Fernwartung über Port 443 kommuniziert wird und man diese deaktiviert hat, besteht ja an sich auch keine große Veranlassung für einen mit heißer Nadel gestrickten Patch. Ich selbst habe auch mit mir gehadert, ob ein Patch sinnvoll oder nötig ist, mich glücklicherweise dann aber für den Patch entschieden.

Wenn dann nach 2 Wochen gerade einmal 20% aller Fritzboxen gepatcht sind und sich dann heraus stellt, dass die Fernwartung gar nicht die Ursache für die Angreifbarkeit ist, sondern schon eine Webattacke ausreicht, ist das mehr als nur grob fahrlässig von AVM. Ein derart offener Router gehört normalerweise sofort aus dem Verkehr gezogen. Ein Patch, der mutmaßlich die Lücke schließt (und hoffentlich keine neue enthält), ist aber auf jeden Fall zwingend. Und das zu kommunizieren, hat man eben "versäumt". Mit dem fadenscheinigen Argument, dass man Trittbrettfahrern nicht noch mehr Informationen geben wollte ...

Eine derartige Sauerei ist mir seit Jahren nicht mehr untergekommen. Ich jedenfalls bin vom Glauben an die Professionalität von AVM geläutert und werde zukünftig auf den Erwerb weiterer Hardware von diesem Hersteller verzichten. Der Mehrpreis für AVM-Produkte war bisher nämlich vor allem ein Investment in Sicherheit/ Krisenmanagement. Wenn das als Kaufargument wegfällt, bleibt nur noch überteuerte Bloatware, die so kein Schwein braucht. Die Fritzbox ist jedenfalls erst einmal im Schrank versschwunden und wurde gegen einen im Funktionsumfang (leider aber nicht im Preis) deutlich reduzierteren Router ausgetauscht ...

Gertie 14 Komm-Experte - P - 2249 - 18. Februar 2014 - 0:23 #

Meine 3170 ist scheinbar so alt das das Problem gar nicht auftritt bzw. patchwürdig ist.

Deep Thought 15 Kenner - 3159 - 18. Februar 2014 - 0:36 #

Aufgrund mangelnder Informationen kann Dir derzeit leider keiner (ausser vielleicht AVM, heise und ein paar bösen Jungs) sagen, ob das Problem bei Dir nicht auftritt. Deine Box kann auch schlichtweg einfach zu alt sein, um noch zeitnah einen Patch zu bekommen. Der Exploit ist jedenfalls nicht erkennbar an ein spezifisches Feature gebunden. Wenn Du also Sicherheit willst, dass nicht irgendein Hans Deinen Router kapert (und dann ungehindert und von Dir unbemerkt böse Sachen anstellt), dann tausch ihn besser aus.

MaverickM 17 Shapeshifter - 7448 - 18. Februar 2014 - 2:05 #

Der Exploit ist an den Fernzugriff via Internet gebunden. AFAIK konnte das die 3170 noch gar nicht.

Deep Thought 15 Kenner - 3159 - 18. Februar 2014 - 2:56 #

Eben gerade nicht, wie heute auf heise berichtet wurde. Selbst bei vollständig deaktiviertem Fernzugriff ist eine Kompromitierung der Fritzbox mit vollständiger Erlangung von Root-Rechten möglich ;) Wie ich bereits schrieb, ist es an kein bestimmtes Feature der Box gebunden. Allein eine CGI-Lücke im Webinterface (die unter Umständen seit zig Jahren unbemerkt in allen möglichen Boxen sein kann) wäre ausreichend ...

Bevor man in solch kritischen Bereichen also vorschnell Entwarnung gibt, sollte man zumindest vorher ein wenig recherchieren.

MaverickM 17 Shapeshifter - 7448 - 18. Februar 2014 - 5:44 #

Bei deaktiviertem Fernzugang kann der Angreifer trotzdem nicht auf die Fritz!Box zugreifen. Auch das Auslesen der Konfigurationsdateien via Exploit wie im Heise Artikel beschrieben, liefert dem Angreifer maximal ein paar harmlose Passwörter mit denen er nicht viel anfangen kann. (Immer vorausgesetzt der User war nicht so dumm und verwendet überall das gleiche Passwort) Unschön, aber nicht weiter tragisch.
Außerdem muss der User dazu auch erst einmal auf eine dementsprechend präparierte Seite gelangen.

Wer seinen Kram nicht aktuell hält und sich aktiv über Sicherheitslücken und Updates informiert ist IMHO selber Schuld wenn etwas passiert. Und die Lücke ist ja bereits seit geraumer Zeit geschlossen.

TSH-Lightning 17 Shapeshifter - P - 6916 - 18. Februar 2014 - 6:22 #

Es gab in der Vergangenheit bereits z..B mehrfach infizierte Adserver, die Werbung auf beliebten und völlig harmlosen Webseiten Trojaner installiert haben. Es gibt eine Liste mit haufenweise FTP-Zugangspasswörtern die gerade im Netz "verfügbar ist". Leider sind evtl. bei einem Angriff erbeutete Passwörter für den Router nicht so harmlos wie du denkst: http://www.heise.de/ct/artikel/Aufstand-der-Router-1960334.html Dagegen hilft kein Virenscaner und an den Router denken viele wohl gar nicht erst. Es sind nicht alles IT-Nerds, die eine Fritz!Box betreiben. Bei dir ist ja alles OK, wenn du schon geupdated hast.

Deep Thought 15 Kenner - 3159 - 18. Februar 2014 - 16:38 #

Ich glaube, Dir fehlt es an Phantasie und/ oder an Kompetenz, um Dir entsprechende Angriffsszenarien vorstellen zu können. Sobald Du Root-Rechte erlangen kannst (und genau das scheint heise security ja gelungen zu sein), ist aus dem Heimnetzwerk (und genau da steht ja der Client, der mittels präparierter Website die kompromitierenden Kommandos an die Fritzbox sendet) so ziemlich alles möglich. Da braucht es keinen Fernzugriff mehr ;)

Ob Du das als tragisch oder sicherheitsrelevant für DICH einstufst, ist mir ziemlich egal. Allerdings solltest Du nicht vorschnell für andere Entwarnung geben. Schon gar nicht, bevor Du Dich ausführlich mit der Thematik auseinander gesetzt hast.

Und jeder, der diese Risikobewertung nicht für sich selbst vornehmen kann, wäre so oder so gut damit beraten, den Router einfach aus dem Verkehr zu nehmen. Umso mehr noch, wenn es besagten Patch gerade nicht gibt.

MaverickM 17 Shapeshifter - 7448 - 18. Februar 2014 - 18:45 #

> Sobald Du Root-Rechte erlangen kannst (und genau das
> scheint heise security ja gelungen zu sein)

Das steht so nirgends. Die Rede ist von einem Passwort für den Router selbst, welcher einem nichts nützt, wenn der Fernzugriff deaktiviert ist. Zumindest nicht, ohne dass auf dem Rechner bzw. dem Netzwerk weitere Schadsoftware eingeschleust wird. Das ist schon einmal ein weiteres Hindernis.

Außerdem werden noch Passwörter zu DynDNS Accounts offenbar ersichtlich. Hier kann eigentlich auch kein wirklicher Schaden angerichtet werden. Ein - wenn auch etwas weit hergeholtes - Szenario wäre höchstens, dass jemand damit sich Zugang zum DynDNS Konto verschafft, die dynamische Adresse umleitet und somit evtl. Nutzer von Seiten auf unsichere Webseiten lockt. Betrifft aber nur die geringe Zahl derer, die tatsächlich zuhause Webseiten oder dergleichen hosten und die DynDNS Adresse daher bekannt und verbreitet ist. Also einen sehr kleinen Anteil der Nutzer. Und die sollten dank offener Ports weit andere Sorgen haben, als diesen Exploit...

Ohnehin ist die ganze Diskussion hier unnötig, weil A) die Lücke längst gefixt ist und B) die 3170 höchstwahrscheinlich sowieso nie betroffen war. Erstens beherrscht sie keinen Fernzugang, kein VPN, keine Telefonie etc. Zweitens weil - sollte der Exploit hier trotzdem funktionieren - eben auf Grund fehlender Funktionalität eh kein Schaden angerichtet werden kann.

Und mir irgendwelche Kompetenz absprechen zu wollen ist schon ungemein dreist... Bin zwar kein Sicherheitsexperte, aber dieser Bereich (Absicherung von Netzwerken) gehört unter anderem zu den anfallenden Aufgaben in meinem Beruf. Ich denke ich weiß also durchaus von was ich rede.

Deep Thought 15 Kenner - 3159 - 18. Februar 2014 - 20:32 #

Ich zitiere einmal aus besagtem heise-Artikel:

"Mit Unterstützung des Reverse-Engineering-Spezialisten Hanno Heinrichs konnten wir die genaue Position der Schwachstelle in den verwundbaren Firmware-Versionen identifizieren, die AVM bislang nicht weiter dokumentieren wollte. Sie hat nichts mit der Fernsteuerung zu tun. Ein Angreifer erhält durch diese Lücke die vollständige Kontrolle über den Router und kann beliebige Befehle mit Root-Rechten ausführen – und zwar schon dann, wenn das Opfer hinter der Fritz!Box eine Web-Seite mit seinem Schadcode aufruft."

Allein das ist ausreichend, um Szenarien zu entwickeln, die weit über alles hinausgehen, was Du anscheinend für möglich hältst. Deshalb meine Besorgnis und meine Einwände. Die von Dir aufgeführten Aktionen waren lediglich Teil einer "Proof-of-Concept"-Installation (Du als Profi weißt sicher, was das ist ;)), die aber nur funktionieren konnte, weil eben Root-Rechte erlangt wurden. Ob die nun für solchen Unsinn oder für subtilere Sachen (ein vollständig kontrollierter, fremder Router ist für viele Leute lohnenswert) genutzt werden, liegt aber nicht in Deiner Einflusssphäre.

Du hast natürlich das Recht, das alles ganz anders zu sehen. Nur bitte, bitte, gib dann anderen keine halbgaren Tipps. Als Profi solltest Du wissen, dass ein nicht kalkulierbares Risiko unter allen Umständen zu vermeiden ist. Eine nicht patchbare Fritzbox ist eben ein solches. Und alle mit einer gepatchten Box können nur hoffen, dass das Problem vollständig beseitigt ist. Sicher sein kann da aber auch keiner ;)

Was die Kompetenz betrifft: ich habe sie Dir nicht notwendigerweise abgesprochen. Daher das und/oder. Dann fehlt es Dir im Zweifel halt einfach nur an Phantasie. Allein Deine Ausführungen zur 3170 lassen zumindest das vermuten. Eine große Rolle spielen tuts für mich jetzt aber nicht :)

blobblond 19 Megatalent - 17755 - 18. Februar 2014 - 19:09 #

"> Sobald Du Root-Rechte erlangen kannst (und genau das
> scheint heise security ja gelungen zu sein)

Das steht so nirgends. Die Rede ist von einem Passwort für den Router selbst, welcher einem nichts nützt,"

Lern lesen...

"Mit Unterstützung des Reverse-Engineering-Spezialisten Hanno Heinrichs konnten wir die genaue Position der Schwachstelle in den verwundbaren Firmware-Versionen identifizieren, die AVM bislang nicht weiter dokumentieren wollte. Sie hat nichts mit der Fernsteuerung zu tun. Ein Angreifer erhält durch diese Lücke die vollständige Kontrolle über den Router und kann beliebige Befehle mit Root-Rechten ausführen – und zwar schon dann, wenn das Opfer hinter der Fritz!Box eine Web-Seite mit seinem Schadcode aufruft."
http://www.heise.de/newsticker/meldung/Jetzt-Fritzbox-aktualisieren-Hack-gegen-AVM-Router-auch-ohne-Fernzugang-2115745.html

Deep Thought 15 Kenner - 3159 - 18. Februar 2014 - 19:15 #

Hehe, 2 Dumme, ein Gedanke

blobblond 19 Megatalent - 17755 - 18. Februar 2014 - 19:20 #

Was für ein Zufall^^

Gertie 14 Komm-Experte - P - 2249 - 18. Februar 2014 - 17:13 #

Ich antworte mir mal selbst ... das letzte Firmware Update gab es 2008 seit dem gab es nüx mehr. Also hab ich mal dem Support von AVM geschrieben ... meine Fritzbox is gar nicht mehr in der Supportmaske aufgeführt... mal schauen was da kommt.

Naja dann mal suchen welchen neuen Router ich mir zulege!

Deep Thought 15 Kenner - 3159 - 18. Februar 2014 - 19:54 #

Jo, der Disput mit Falcon ist ein wenig aus der Richtung gelaufen xD.

Ich könnte mir gut vorstellen, dass deren Support derzeit etwas unter Stress steht. Soviel ich weiss, haben die aber auch eine 0800-Servicehotline. Sollten die sich nicht zeitnah bei Dir melden, wäre das auch noch einen Versuch wert.

Was den neuen Router betifft: leider ist das derzeit auch nicht gerade leicht zu entscheiden. Eine ganze Reihe von Anbietern (Asus, Cisco, Netgear, ...) sind in den letzten Monaten mit Sicherheitslücken in die Schlagzeilen geraten, sodass eine eindeutige Kaufempfehlung wirklich schwer fällt. Sollte AVM mit dem Patch die Lücke in vollem Umfang geschlossen haben (was die anderen im übrigen nicht getan haben, soviel sei in aller Fairness AVM zugestanden), sind die Fritzboxen unter Umständen sogar nicht die schlechteste Wahl. Vorausgesetzt man kauft eine patchbare Fritzbox xD

Windhose (unregistriert) 19. Februar 2014 - 13:52 #

Die 3170 ist nicht anfällig für den Angriff lt. AVM. Sie ist in der heute veröffentlichen Liste als sicher eingestuft.

Gertie 14 Komm-Experte - P - 2249 - 19. Februar 2014 - 16:35 #

Ok ich sollte mich doch mal nach was neuem umschauen oder darauf bauen das bei so einem alten Schätzchen alle Sicherheitslücken gepatcht sind ....seit 2008 .... da steckt jetzt irgendwo ein Denkfehler drin ;)

Deep Thought 15 Kenner - 3159 - 20. Februar 2014 - 18:29 #

So, wie es aussieht, hast Du sogar Glück gehabt, dass das Schätzchen so alt war XD

Soll jetzt zwar nicht heißen, dass sie nicht unter Umständen gegen andere Angriffe anfällig ist, aber das gilt ja für alle Router ...

MaverickM 17 Shapeshifter - 7448 - 18. Februar 2014 - 2:06 #

Die "News" ist aber auch irgendwie schon drei Wochen alt...

Deep Thought 15 Kenner - 3159 - 18. Februar 2014 - 2:29 #

Besser einmal auf heise vorbei surfen, dann siehste, dass es durchaus Neues gibt. Bzw. den Text dieser News lesen würde auch schon reichen ...

BTW: AVM hat erst am 07.02. die Sicherheitslücke (damals noch allein für Fernzugriff über Port 443) bestätigt, also nix 3 Wochen ;)

Lorion 17 Shapeshifter - 7535 - 18. Februar 2014 - 3:35 #

Pfft, Newstext lesen bevor man nen Kommentar drunter setzt... nu werden se mal nicht unrealistisch hier! ^^

Deep Thought 15 Kenner - 3159 - 18. Februar 2014 - 4:56 #

Jo, manchmal bin ich wirklich maßlos in meinen Ansprüchen XD

MaverickM 17 Shapeshifter - 7448 - 18. Februar 2014 - 5:32 #

*Auf die Windows-Uhr guckt*
Wir haben bereits den 18.02.

Was ist daran denn nun "Neu"!? Die neue Firmware hatte ich für meinen Router direkt bei Release eingespielt, dafür kriegt man ja sogar vom Router eine E-Mail.

Und wäre die News jetzt wirklich Sicherheitstechnisch relevant, wäre es traurig dass sie hier so spät erscheint. (Abgesehen davon, dass man generell einfach für solche Dinge lieber andere einschlägig bekannte Seiten konsultieren sollte als GG)

TSH-Lightning 17 Shapeshifter - P - 6916 - 18. Februar 2014 - 6:30 #

Ich hab keine Ahnung warum du das ganze so verharmlosen willst. Es sind nicht alles IT-Nerds, die eine Fritz!Box betreiben. Bei dir ist ja alles OK, wenn du schon geupdated hast. Aber wenn auch nur ein einziger User seine Box durch diese News geupdated hat und/oder vor einem Angriff bewahrt wurde dann hat es sich schon gelohnt.

blobblond 19 Megatalent - 17755 - 18. Februar 2014 - 8:34 #

Was daran "Neu" ist?
Das es zum Beispiel eine zweite Sicherheitslücke gibt die nix mit der Fernsteuerfunktion zutun hat.Und diese Heisenews ist vom "17.02.2014 15:58" und hier wurde die News am "17. Februar 2014 - 22:45" rausgebracht.Mit Hilfe der Sicherheitslücke kann man nicht nur die Konfigurationsdatei auslesen ,sondern man kann auch einen Router-Trojaner installieren.

MaverickM 17 Shapeshifter - 7448 - 18. Februar 2014 - 18:47 #

Es gibt keine zweite Lücke. Lern lesen. Im Heise Artikel steht, dass die Lücke bereits gefixt wurde mit dem bereits erschienen Firmware Update.

CBR 20 Gold-Gamer - P - 20253 - 18. Februar 2014 - 8:38 #

> dafür kriegt man ja sogar vom Router eine E-Mail.

Meine 7570 sagt mir immer noch, dass es kein Update gibt, obwohl es definitiv im Repository verfügbar ist. Also nicht gleich verallgemeinern.

Auf Sites zu IT-News schaue ich schon seit einiger Zeit aus Zeitmangel nicht mehr vorbei. Das ist schade. Aber ich habe ein anderes Leben.

icezolation 19 Megatalent - 19180 - 18. Februar 2014 - 13:54 #

Dein Ross ist immer noch zu hoch, Falke.

MaverickM 17 Shapeshifter - 7448 - 18. Februar 2014 - 18:48 #

Und ich werde niemals absteigen. Kein Mitleid für solche.

Und ich sehs auch positiv: Je mehr Leute dass nicht selbst können, desto mehr Aufträge hab ich! Win win!

Deep Thought 15 Kenner - 3159 - 18. Februar 2014 - 16:57 #

Die Fernwartungs-Lücke wurde am 07.02. kommuniziert. 17-7 = 10 < 21. Die weitergehende Verwundbarkeit wurde am 17.02. auf heise veröffentlicht. 17-17 = 0 < 21. Es handelt sich also durchaus um zum Teil sehr aktuelle Erkenntnisse, die allesamt nicht 3 Wochen alt sind.

Und wenn auch nur einer durch diese News hier zum Update oder zur Stilllegung seiner Fritzbox bewegt wird, hat diese ihren Zweck erfüllt.

MaverickM 17 Shapeshifter - 7448 - 18. Februar 2014 - 18:49 #

Nur gibt es keine weitere Lücke. Lernt doch mal lesen...

Deep Thought 15 Kenner - 3159 - 18. Februar 2014 - 19:09 #

Deiner bescheidenen Ansicht nach nicht. Nur ist die für mich nicht maßgeblich ;)

MaverickM 17 Shapeshifter - 7448 - 18. Februar 2014 - 20:33 #

Ob sie für Dich maßgeblich ist oder nicht, ist völlig unerheblich, solange Deine Aussage falsch ist. Und das ist sie. In dem von Dir selbst erwähnten Heise Artikel steht doch bereits im letzten Absatz, dass der Fehler behoben ist:

> "Dabei ist es ganz einfach, sich zu schützen:
> Fritzbox-Besitzer, die noch immer nicht eine
> der aktuellen Firmware-Versionen eingespielt
> haben - und davon soll es noch viele geben -,
> sollten das deshalb jetzt dringend nachholen."

Deep Thought 15 Kenner - 3159 - 18. Februar 2014 - 21:23 #

Naja, was zumindest für alle, die einen Patch bekommen können unter Umständen eine Lösung darstellt.

Darüber hinaus hat es allerdings nichts mit dem Umfang und dem Zeitpunkt der kommunizierten Sicherheitslücken zu tun. Selbst jetzt ist offiziell von AVM nur die Vulnerabilität der Fernwartung bestätigt. Wer diese nicht nutzt oder nicht hat, hätte gar keinen Grund zu patchen ;) Und alle Fritzbox-Nutzer, die niemals auf heise vorbeischauen, tappen weiter im Dunkeln.

Also auch noch einmal für Dich ganz deutlich zum Mitschreiben:
07.02.: AVM bestätigt die Angreifbarkeit per FERNWARTUNG und empfiehlt, diese abzuschalten und nach Verfügbarkeit zu patchen
17.02.: heise findet heraus, dass es nicht um die Fernwartung geht, sondern eine generelle Schwachstelle vorliegt, die sich auch bei ABGESCHALTETER FERNWARTUNG nutzen lässt und empfiehlt dringend, zu patchen
seit 17.02.: AVM schweigt weiter zum Umfang der Lücke und ob der Patch auch tatsächlich diese Lücke vollständig schließt.

Es lässt sich also nur mutmaßen, ob das Update hinreichend sicher ist. Und wie gesagt ist da ja noch das Problem der nicht patchbaren Fritzboxen. Ist aus dem Umstand, dass es keinen Patch gibt zu schließen, dass die Box dann nicht angreifbar ist? Ich weiß es nicht. Aber Du sicher auch nicht.

Da Ganze ist einfach ein PR-Debakel, das auch nicht durch Leute wie Dich besser wird, die nichts besseres zu tun haben, als zu beschwichtigen und den Profi heraus hängen zu lassen. Und das bei einer mehr als undurchsichtigen Faktenlage.

Ob meine Aussage also falsch ist, ist zumindest nicht mit den von Dir vorgebrachten Argumenten zu beurteilen ....

blobblond 19 Megatalent - 17755 - 18. Februar 2014 - 21:50 #

Bei einigen Fritzboxen,genauer gesagt bei bei den Kabel-Versionen der Fritzboxen, ist es ja auch so das man sie nicht manuell patchen kann,sondern man muss warten bis die Kabel-Provider wie Unitymedia ,KabelBW und einige kleinere die Updates verteilen.Die Kabel-Provider kriegen zwar Updates von AVM müssen die aber immer noch intern getesten.

Zum Glück besitze ich kein Fritzbox sondern ein Motorola Surfboard für den Kabelzugang.

Deep Thought 15 Kenner - 3159 - 18. Februar 2014 - 21:54 #

Jo, die Leute mit Zwangs-Router tun mir bei der ganzen Sache am meisten Leid.

Ich habe die Fritzbox nach Rücksprache mit unseren Sys-Admins (ich nutzte meine private Box unter anderem auch zum VPN-Zugriff auf das Firmen-Netzwerk) wenigstens einfach abklemmen und austauschen können.

Ohne diese Option wäre mir nichts anderes übrig geblieben als auf den VPN-Zugang erst einmal komplett zu verzichten.

MaverickM 17 Shapeshifter - 7448 - 18. Februar 2014 - 21:57 #

Du willst jetzt nicht ernsthaft auf den "3 Wochen" rumreiten!?
Ich hätte auch genausogut "seit Wochen" sagen können. Ist doch scheissegal.

Deep Thought 15 Kenner - 3159 - 18. Februar 2014 - 22:30 #

Nein, ich will ernsthaft darauf herumreiten, dass es seit gestern Neuigkeiten gibt, die Du anscheinend überhaupt nicht zur Kenntnis nehmen magst. Die zu kommentieren Du Dich aber dennoch berufen fühlst.

Erkenntnisse, die den Umfang und das Risiko besagter Sicherheitslücke(n) deutlich erhöht haben.

Erkenntnisse, bei denen von Dir außer einem platten "Wenn Leute nicht patchen, sind sie selbst Schuld" nichts kommt.

Erkenntnisse, die mit gefährlichem Halbwissen von Dir bagatellisiert werden.

Wenn Du darüber hinaus dann auch noch solche dümmlichen Steilvorlagen wie mit den "3 Wochen" lieferst, lasse ich das natürlich nicht unerwähnt ;)

MaverickM 17 Shapeshifter - 7448 - 19. Februar 2014 - 1:38 #

Und wieder unterstellst Du mir Unfähigkeit.
Auf diesem Niveau diskutiere ich nicht.
Viel Spaß noch.

Deep Thought 15 Kenner - 3159 - 19. Februar 2014 - 6:55 #

Ich nehme einmal an, Du beziehst Dich auf das gefährliche Halbwissen. Alles andere von mir Aufgezählte erscheint mir dann mehr eine Einstellungssache Deinerseits, die nichts mit "Unfähigkeit unterstellen" zu tun haben kann.

Du hast doch selbst eingeräumt, kein Sicherheits-Experte zu sein. Deinem Profil entnehme ich zudem, dass Du als Web-Designer arbeitest, was diese Aussage untermauert. Somit erscheint es mir nicht falsch, Dir Halbwissen zu unterstellen. Und um Missverständnissen vorzubeugen: auch ich bin trotz abgeschlossenen Informatik-Studiums und jahrzehntelanger Computererfahrung auch kein Sicherheits-Experte. Auch ich verfüge nur über Halbwissen auf diesem Gebiet, bin mir dessen aber zu jeder Zeit bewusst.

Was nun Dein Halbwissen gefährlich macht, ist wiederum eine Einstellungssache: Du betreibst eine Art von Beweislast-Umkehr, die nach dem Motto verfährt, dass es nur dann ein Sicherheits-Risiko gibt, wenn es positiv festgestellt wird. Genau das ist aber grundlegend falsch. Risikobewertung hat nach dem von richtigen Experten anerkannten Prinzip des Ausschlussverfahrens zu erfolgen.

Im vorliegenden Fall heißt das: wenn man nicht zweifelsfrei die Ursache und den Umfang der Sicherheitslücke kennt, welche Fritzboxen sind dann als betroffen anzusehen? Richtig, ALLE.

Und wenn es für eine Fritzbox keinen wie auch immer gearteten Patch gibt, wie ist dann deren Sicherheit einzustufen? Richtig, als NICHT VORHANDEN.

Nur bei dieser Vorgehensweise kommt es gerade eben nicht auf den Wissenstand an (auch Halbwissen schadet dann nicht). Eine Fehleinschätzung oder neue Erkenntnis kann die Situation nur verbessern, nicht jedoch verschlechtern. Jede andere Vorgehensweise vermag dies nicht zu leisten und ist deshalb einfach verantwortungslos und eben gefährlich.

Wenn Du Dich hierdurch herab gesetzt oder beleidigt fühlst, ist das ein Umstand, den ich leider nicht ändern kann. Wenn Du deswegen das Niveau der Diskussion in Frage stellen willst, sei Dir auch das frei gestellt. Alles das ist nicht wirklich relevant.

Allein relevant ist, dass sich am Schluss nicht irgendjemand aufgrund von irgendwelchen Einschätzungen Deinerseits, die entweder richtig oder eben auch falsch sein können, in Sicherheit wiegt. Dem eigenen Ego auf Kosten der Sicherheit anderer schmeicheln zu wollen, ist jedenfalls keine Option.

Labolg Sremag 12 Trollwächter - 883 - 18. Februar 2014 - 9:22 #

Erstmal danke an AVM dass die sich hinhocken und sich direkt ans Werk gemacht haben um solche Leaks zu schliessen.

Gute Deutsche Handarbeit! (AVM ist eh allem überlegen)

aber die "News" ist alt, und nur weil irgendwer im Intenet nun meinte nochmal ein fitzelchen gefunden zu haben ist jetzt echt kein Grund den alten Käse aus dem Keller zu holen!

CBR 20 Gold-Gamer - P - 20253 - 18. Februar 2014 - 11:37 #

Dieses Fitzelchen ist aber nicht unwesentlich, sondern erhöht die Reichweite enorm. Insofern finde ich das völlig legitim.

Deep Thought 15 Kenner - 3159 - 18. Februar 2014 - 16:11 #

Dieses "Fitzelchen", wie Du es nennst, ist sicherheitstechnisch so etwas wie ein Super-GAU, wenn sich dessen Trgaweite in vollem Umfang bestätigt.

Und nein, AVM hat es "versäumt", die Ernsthaftigkeit der Sicherheitslücke in ausreichendem Maße an die Kunden zu kommunizieren. Ohne die Erkenntnisse von heise würden noch alle Betroffenen zu Recht davon ausgehen können, dass bei deaktiviertem Fernzugriff keine unmittelbare Gefahr droht.

Ich möchte nicht wissen, wieviele Leute genau aus diesem Grund auf ein zeitnahes Update verzichtet haben. Ich habe mir jedenfalls 1-2 Tage extra Zeit gegönnt, um auf Feedback hinsichtlich der Stabilität des Patches zu warten. Zeit, in der mein Router hochgradig kompromitierbar war. Das ist nun wirklich kein erstklassiges Krisenmanagement in meinen Augen ...

Michl Popichl 24 Trolljäger - 50609 - 18. Februar 2014 - 9:24 #

schon echt krass was es alles für nen scheiß gibt

Labrador Nelson 27 Spiele-Experte - - 85939 - 18. Februar 2014 - 12:40 #

Gestern upgedated.

Goremageddon 12 Trollwächter - 1175 - 18. Februar 2014 - 14:53 #

Teile mir das I-net in der WG, hatte mich daher garnicht um den Router gekümmert. Derjenige der ihn "verwaltet" hatte noch nicht geupdatet, hab das letzte Nahct denn mal gemacht. Insofern Danke für die News, war an mir vorbeigegangen mit der Sicherheitslücke,

Decorus 16 Übertalent - 4246 - 19. Februar 2014 - 12:43 #

Update: Liste mit betroffenen und nicht betroffenen Geräten sowie Patchstatus veröffentlicht:
http://www.avm.de/de/Sicherheit/liste_update.html
Laut Liste "nur" noch
Alice 3331 sowie AVM 5188 ungepatched.
Speedport Router laut AVM Sache der Telekom.

Windhose (unregistriert) 19. Februar 2014 - 13:56 #

Kann die News gerade nicht aktualisieren da auf Arbeit. Wird aber später nachgeholt. LG Tornado

Deep Thought 15 Kenner - 3159 - 19. Februar 2014 - 17:18 #

Auf

http://www.heise.de/newsticker/meldung/Hack-gegen-AVM-Router-AVM-veroeffentlicht-Liste-betroffener-Fritzboxen-2118070.html

gibt es auch noch weitere nützliche Infos zu der Liste.

Über den Diskussionsthread zu diesem Artikel bin ich dann noch auf diesen Beitrag gestoßen (hph ist Hanno Heinrichs):

http://www.ip-phone-forum.de/showthread.php?t=267007&page=25&p=1988194&viewfull=1#post1988194

http://www.ip-phone-forum.de/showthread.php?t=267007&page=26&p=1988215&viewfull=1#post1988215

http://www.ip-phone-forum.de/showthread.php?t=267007&page=26&p=1988230&viewfull=1#post1988230

Es scheint sich bei der Sicherheitslücke um eine mangelnde Inputvalidierung in einem "von außen" erreichbaren Dienst zu handeln, über die man Shell-Befehle absetzen konnte. Welcher Dienst das genau ist, ist nicht zu erfahren, es sieht aber stark danach aus, dass die Fernwartung, ob eingeschaltet oder nicht zumindest vorhanden sein muss. Dann wäre es ein starkes Indiz für die Vollständigkeit und Richtigkeit der von AVM veröffentlichten Liste.

MachineryJoe 16 Übertalent - P - 4295 - 20. Februar 2014 - 9:15 #

Vielen Dank für die News! Ich wusste das noch nicht und habe aufgrund Eurer Nachricht den Router aktualisiert.

vicbrother (unregistriert) 20. Februar 2014 - 10:28 #

Mit OpenWRT wäre das nicht passiert ;)

CptnKewl 20 Gold-Gamer - - 22479 - 20. Februar 2014 - 11:07 #

der gute Linksys WRT54GL wird da nicht mehr supported.
Deßhalb hab ich dann gleich das Upgrade auf nen richtigen Router gemacht. Jetzt muss ich mich mit der Frickelsoftware nicht mehr herumärgern

blobblond 19 Megatalent - 17755 - 21. Februar 2014 - 13:39 #

Sicher?;)

Wurm-Alarm bei Linksys-Routern
http://www.heise.de/newsticker/meldung/Wurm-Alarm-bei-Linksys-Routern-2115285.html

Auch die Firmware OpenWRT ist betroffen.

was is hier los^^ (unregistriert) 20. Februar 2014 - 10:40 #

Wir haben unsere alte Fritzbox 7270 geupdatet und sie ist abgeraucht :(

TSH-Lightning 17 Shapeshifter - P - 6916 - 20. Februar 2014 - 14:06 #

Also, leuchtet nur nichts mehr und die Hardware ist defekt oder funktioniert das Gerät selbst noch, nur die Firmware (Software) ist kaputt? In letzterem Fall einfach an den AVM Support wenden, da kann man meistens noch was retten und den Router zurücksetzen. Wenn die Hardware defekt ist, entweder Garantie oder was neues kaufen.

Deep Thought 15 Kenner - 3159 - 20. Februar 2014 - 23:51 #

Sieh es einmal positiv: ohne Patch hätte sie sich auch nur noch als Briefbeschwerer geeignet. Also eigentlich nichts verloren XD

Ich habe mir aber sagen lassen, dass AVM sehr kulant ist beim Austausch von defekter Hardware. Selbst wenn die Garantiezeit abgelaufen ist, soll es schon vorgekommen sein, dass sie Geräte ausgetauscht haben. Das alles ist natürlich nur Hörensagen.

Aber ein Versuch ist es unter Umständen wert, wenn da wirklich so ein unmittelbarer zeitlicher Zusammenhang zwischen Patch und Defekt war. Könnte ja auch ganz interessant für AVM sein ....

Major_Panno 15 Kenner - 2883 - 20. Februar 2014 - 11:03 #

Danke für die News. Ich habe direkt das Update gemacht.

Deep Thought 15 Kenner - 3159 - 20. Februar 2014 - 20:51 #

Jetzt auch noch AVM WLAN-Repeater und Powerline von der Sicherheitslücke betroffen:

http://avm.de/de/Presse/Informationen/2014/2014_02_19.php3
http://www.heise.de/newsticker/meldung/Fritzbox-Luecke-Jetzt-auch-bei-WLAN-Repeatern-2119244.html

Und für ganz schmerzresistente Leseverweigerer: Stern TV (ab 50. Minute)

http://rtl-now.rtl.de/stern-tv/thema-ua-schwierige-rechtslage-bei-kinderpornografie.php?container_id=153913&player=1&season=0

Larnak 21 Motivator - P - 25531 - 20. Februar 2014 - 21:26 #

Das mit den Repeatern ist interessant. Gleich mal nach Updates schauen.

Ist da die Gefahr aber nicht eigentlich recht klein, weil man dafür zunächst mal am Router vorbei müsste, wenn man aus den Weiten des Internets angreifen will? Oder habe ich da was übersehen?

Deep Thought 15 Kenner - 3159 - 20. Februar 2014 - 21:59 #

Der Angriffsvektor ist einigermaßen begrenzt und nicht ganz trivial. Du musst halt eine entsprechend verseuchte Website ansurfen, die nicht nur den Router kapern, sondern auch Deinen Repeater haben will.

Der Angriff erfolgt von "innen", also durch Deinen Client, der ja schon im Heimnetz steht. Es werden einfach Befehle durch diesen an eine nicht genügend geschützte CGI-Schnittstelle des Routers/Repeaters geschickt (der Exploitentdecker sagt, es fehlt eine Inputvalidierung). Da kann der Router nichts mehr verhindern. Die Prozedur ist analog zum Angriff auf nicht gepatchte AVM Router mit abgeschalteter Fernwartung.

Sobald der Repeater kompromitiert ist, kann man schon einiges anstellen (wie Passwörter abgreifen u.ä), was aber ebenso nicht ganz trivial wäre :)

AVM sieht keine große Gefahr, aber darauf würde ich mich dann nicht verlassen wollen. Groß genug für einen Patch ist sie ja dann doch :)

Ach ja: weil das fast immer vergessen wird und ich jetzt schon ein paar Mal von Leuten gelesen habe, die auch NACH dem Patchen ein paar böse Überraschungen erlebt haben -> unbedingt alle Passwörter im Netzwerk nach dem Patchen austauschen. Am besten in einer sinnvollen Reihenfolge, zur Not tut es aber auch eine schlechte mit Wiederholung der Prozedur.

Larnak 21 Motivator - P - 25531 - 20. Februar 2014 - 23:31 #

"Der Angriff erfolgt von "innen", also durch Deinen Client, der ja schon im Heimnetz steht."
Ok, das hatte ich nicht mitbekommen ^^

Nokrahs 16 Übertalent - 5682 - 20. Februar 2014 - 21:03 #

Also dieses 6.03 update habe ich ja schon ewig auf dem Router.

Deep Thought 15 Kenner - 3159 - 20. Februar 2014 - 23:55 #

Hmm, wohl frühestens seit dem 08.02. (hängt auch ein wenig vom Modell ab), was bei Eintagsfliegen aber bestimmt eine Ewigkeit wär ;) Scheint dann wohl was mit der Relativität von Zeit zu tun haben. Oder so ähnlich XD

Nokrahs 16 Übertalent - 5682 - 21. Februar 2014 - 10:43 #

08.02? Das ist ja schon gar nicht mehr wahr. Dann kommt sicher bald ein neues.

Deep Thought 15 Kenner - 3159 - 21. Februar 2014 - 15:32 #

Von den AVM-Codern steht wohl derzeit praktisch keiner mehr. Die haben in den 12 Tagen 100 Patches gestrickt. Da wird wohl erst einmal Schlaf nachgeholt.

joker0222 26 Spiele-Kenner - P - 70252 - 23. Februar 2014 - 0:00 #

Auch mal aktualisiert

Kommentar hinzufügen

Neuen Kommentar abgeben
(Antworten auf andere Comments bitte per "Antwort"-Knopf.)
Mitarbeit