News AVM Fritz!Box: Fritz!OS 7.57 und 7.31 schließen ausgenutzte Sicherheitslücke

[Blaze1987]

Auch wenn ich nicht im Netzwerk Bereich arbeite, bin ich mir sicher, dass man die Portscan Möglichkeit im / für WAN Netzwerke auf Firewalls für IP Source IPs / Subnets inkl. NAT deaktivieren kann.

Da ihr aber anscheinend im Gegensatz von mir, im Netzwerkbereich (im Second oder Third Level) für große ISPs arbeiten müsst, um solche (qualifizierten) und schlauen Kommentare abgeben zu können, anbei nur ein Beispiel für ein anderes Protokoll (ICMP ist ein klassisches Beispiel) / sollte aber ähnlich funktionieren. Ich weiß z.B., dass die meisten Firewalls sogar Anwendungen erkennen und dort gezielt Konfigurationen vornehmen können (IP oder Domänen basiert) und damit gezielte Allow / Deny Regeln auf Services / Wege der Kommunikation (und nicht nur Ports oder gar IPs!) anwenden können:

https://community.cisco.com/t5/othe...ate-a-portscan-and-disable-telnet/td-p/368590

Ich bedanke ich mich (trotzdem und auch für andere Leser) bei euch für die "Tipps" und steige auch jetzt aus den Kommentaren mit dem Kontext aus...

 

[Purche]

Hm, in Deinem Link hat jemand einen Telnet und einen SSH Server laufen, da er beide Dienste nutzt - den unsicheren Telnet aber nur lokal.
Der will jetzt m.E., dass von Internet aus Telnet immer geblockt und SSH immer durchgelassen wird. So dass bei einem Portscan nur der SSH Port gelistet wird.

Das ist etwas anderes, als "der offene Port meines SSH-Servers (den ich ja brauche) soll von außen nicht erreichbar sein, es sei denn, ich bin es der da drauf will".

Ohne plump einzelne Quell-IP-Ranges zu blocken, ginge so etwas am ehesten per Port knocking. Also dass nur auf ein geheimes Muster von Anfrageversuchen der Port kurzzeitig geöffnet wird...

 

[DonSerious]

So nun ist Montag und es gibt immer noch kein Update für den 1200AX oder 2400. So wild kann es also demnach nicht sein. Ich sage ja, die updaten nur alle halbwegs aktuellen "sonstigen" Produkte eben auch auf 7.57. Die Lücke der Boxen wurde ja direkt bei allen Modellen gefixt. Sogar welche die man nicht mehr auf dem Schirm hatte.

 

[Engaged]

VPN ist schön und gut, jedoch erfodert es einen Client und meist ein Zertifikat.

Anstatt mit der wireguard App einmalig ein QR-Code zu scannen, hängst du lieber deine Fritzbox komplett nackt ans Netz?
Okay... 🤷🏻‍♂️

 

[TomH22]

Zumal das ein HTML Loginformular ist. Wenn der legitime Nutzer sich einloggt, verbindet er sich auf dem SSL Port und erhält zunächst die Webseite mit dem Login Formula

Der TLS Handshake + das Ausliefern/Prüfen des Login Formulars kosten halt relativ viel Rechenleistung. Daher kann das schnell zu einem DoS (Denial of Service) führen.

Allein deswegen ist es keine so ideale Idee das Webinterface der Fritzbox nach außen offen zu haben.

Ob es nun Aufgabe des Internet Providers ist, DoS Angriffe auf offene Ports an Endkundenroutern zu verhindern, ist eine diskussionswürdige Frage.
Den eigentlich will man ja auch, dass sich ein Provider möglichst neutral verhält, Stichwort Netzneutralität.

Jeder Eingriff birgt ja das Risiko, das auch legitimer Traffic geblockt wird.

 

[riloka]

wobei ich ja kaum glaube dass die zufällig ausgewürfelten myfritz Subdomains sich so leicht finden lassen bzw. die IP-Adresse stabil genug ist um für den Endnutzer eine Gefahr darzustellen.

Ich denke jeder Provider sollte seine Kunden informieren über Anomalien im Netz und wenn der Endpunkt des Kunden gehackt wurde und randaliert und sich an Angriffen beteiligt den Stecker ziehen.

 

[TomH22]

myfritz Subdomains sich so leicht finden lassen bzw. die IP-Adresse stabil genug ist um für den Endnutzer eine Gefahr darzustellen.

Die dial in Ranges der Provider sind allgemein bekannt, die kann man leicht scannen…

 

[riloka]

Ich gehe von meinem Regionalprovider aus wo du dir die IPv4 Adresse mit mehren hundert oder tausend Kunden teilst und das v6 Prefix instabil ist, solange man nich Optionen zubucht. Da hab ich meine Zweifel dass man da zeitnah durchscannen kann.
Aber gegen Leute die ihre Repeater ins Netz weiterleiten manuell ist kein Kraut gewachsen

 

[Purche]

Hier mal ein angeblicher Praxisfall. Wurde bei Facebook an AVM gerichtet...

 

[wildfly]

Da werden anscheinend nicht nur die Fritzboxeinstellungen übertragen.

 

[Der Lord]

So nun ist Montag und es gibt immer noch kein Update für den 1200AX oder 2400

eben bekam ich die Benachrichtigung, dass 7.57 auch für meinen Repeater 2400 zur Verfügung steht. Changelog:

Produkt: FRITZ!Repeater 2400
Version: FRITZ!OS 7.57
[...]
Weitere Verbesserungen im FRITZ!OS 7.57
- Behoben Stabilität und Sicherheit erhöht

Im Grunde also dasselbe wie bei den Boxen. Scheinen die Repeater selbst also auch betroffen zu sein? Es bleibt spannend.

 

[riloka]

schade ist das man trotz den neuen Versionen immer noch kaputte DNSSec Einträge bekommt von der Box. Damit ist selber Validieren am Endpunkt unmöglich

 

[norKoeri]

die updaten nur alle halbwegs aktuellen "sonstigen" Produkte

… dass auch alte Software-Branches 07.1x, 07.0x, 06.8x aber auch 06.5x und 06.3x versorgt wurden, hatten wir ja schon. Entsprechend wurde gestern auch ein Update für den FRITZ!WLAN Repeater 1750e, 1160, 450e, 310 und heute 300e rausgelassen – Letzterer stammt aus dem Jahr 2011. Nur der DVB-C fehlt noch.

 

[wildfly]

Man könnte die alte Version der Fritzbox-Software mit dem angebotenen Update vergleichen, um die Sicherheitslücke zu rekonstruieren.
Zum Beispiel FRITZ.Box_7560-07.29.image mit FRITZ.Box_7560-07.30.image vergleichen.

 

[Engaged]

Bisherige side effects vom Update(?), 7590 + 3000 AP, Chromebook hat öfters einfach kein inet mehr, Wlan an/aus hilft temporär, Hady kann öfters mydealz nicht mehr laden, wlan an/aus hilft temporär.

 

[wildfly]

Sicherheitsupdate: Breites Rollout, mögliche Probleme

https://www.borncity.com/blog/2023/...itsupdate-breiteres-rollout-mgliche-probleme/

 

[Genicksalto]

Meine Vodafone Fritzbox 6660 Cable wurde soeben auf 7.57 geupdated. Kaum zu glauben. Ich hatte erst 2027 damit gerechnet.

 

[norKoeri]

7590 + 3000 AP

Ähnliches Symptom hier … aber vorher würde ich den (bzw. einen Switch mit allen) FRITZ!Repeater in LAN5 probieren. LAN5 hat nämlich kein EEE aktiv.

 

[Engaged]

Kinder haben sich bis jetzt nicht beschwert (AP 3000), mein Traffic läuft direkt per WLAN mit der 7590.
Ich weiß auch nicht ob das Zufall ist, aber merkwürdig ist der übereinstimmende Zeitraum schon, davor hat alles normal funktioniert.
Man kann unter netzwerkgeräten ja bei den einzelnen Geräten auf den feedback-button drücken, ich habe es einfach mal AVM gemeldet.

 

[Purche]

Ist ja wie bei GZSZ, eine Wendung nach der anderen...

https://www.inside-digital.de/news/handelsblatt-fritzbox-hersteller-avm-vor-verkauf

https://app.handelsblatt.com/techni...eller-avm-steht-vor-dem-verkauf/29391430.html