News AVM Fritz!Box: Fritz!OS 7.57 und 7.31 schließen ausgenutzte Sicherheitslücke

Engaged schrieb:
Die dunkelsten Vermutungen lauten ja sogar dass das auch mit geschlossenem Port funktioniert [...]
TomH22 schrieb:
[...] kann es sein, das auch bei Weiterleitungen des Port 443 auf interne Geräte die Lücke ausgenutzt werden kann.
Offenbar bin ich und war nicht betroffen, wie viele andere auch. Möglicherweise weil der Fernzugriff über 443 deaktiviert ist und auch sonst keine Portweiterleitungen stattfinden. Möglicherweise aber auch einfach nur weil ich kein Ziel war :) Spielt keine Rolle, hoffentlich war sie nicht wirklich "einfach so" angreifbar, das würde mein Vertrauen in AVM doch etwas leiden lassen. Nicht dramatisch, da sie es ja gefixt haben aber dennoch ein klein wenig.
 
  • Gefällt mir
Reaktionen: ando99 und Engaged
soll eine Sicherheitslücke schließen, die unter Umständen bereits aktiv ausgenutzt wird
dass eine Sicherheitslücke geschlossen wird, auf die AVM aber nicht explizit hinweisen möchte
Es gibt allerdings Hinweise darauf
Unbestätigten Meldungen zufolge

Hätte, wäre ,wenn, ohne weitere Infos bringt so ein Artikel gar nichts.

Wenn man aber bedenkt wie viele FBs in DE im Umlauf sind, wenn es diese Lücke gäbe und diese entsprechend ausgenutzt würde würde das nicht viel höhere Wellen schlagen?
 
  • Gefällt mir
Reaktionen: Nuke8472, konkretor und riloka
leipziger1979 schrieb:
Hätte, wäre ,wenn, ohne weitere Infos bringt so ein Artikel gar nichts.

Wenn man aber bedenkt wie viele FBs in DE im Umlauf sind, wenn es diese Lücke gäbe und diese entsprechend ausgenutzt würde würde das nicht viel höhere Wellen schlagen?
Responsible Disclosure. Man meldet, korrigiert, updated und dann sagt man was war.
Wenn also keiner vorher dieselbe Lücke findet, bist du damit fein raus.
Muss ja nich ausgenutzt werden bevor man es findet.
 
  • Gefällt mir
Reaktionen: Gizzmow, FTTH, NJay und 2 andere
  • Gefällt mir
Reaktionen: FTTH, MGFirewater, Nebula123 und 2 andere
Mcr-King schrieb:
Das mag stimmen aber Vodafone und 1&1 bieten auch DSL an und dort sieht die Sache anders aus und soryy wenn die der Inhaber der Geräte sind müssen sie sie auch sicher machen.
Die FB von 1und1 sind ganz normale Boxen nur in schwarz. Da muss 1und1 gar nichts machen, denn die Firmware kommt von 1und1,
 
Casillas schrieb:
Die fritzbox wurde ne zeitlang von 1&1 glaube als Homeserverspeed mit vermietet/verkauft oder sogar gratis zur Verfügung gestellt
Ist das nicht immer noch der aktuelle Homeserver für 4,99€ pro Monat bei 1und1? Oder wurde die inzwischen ersetzt? Die höheren Modelle sollten dann 7530AX und 7590AX glaube sein.
 
  • Gefällt mir
Reaktionen: Casillas und Mcr-King
Engaged schrieb:
Und von deutschen Medien würde ich erst recht nichts erwarten, Überschrift bei WinFuture z.b lautet AVM veröffentlicht stabilitäts Update. 🤣


Wobei CB hier doch ziemlich Klartext spricht.

Sicherheitslücke könnte schon ausgenutzt werden​


Es gibt allerdings Hinweise darauf, dass die mit Fritz!OS 7.57 und Fritz!OS 7.31 geschlossene Sicherheitslücke bereits aktiv ausgenutzt wird. Unbestätigten Meldungen zufolge soll sie Angreifern ermöglichen, sich über den HTTPS-Port 443 Zugriff auf die Fritz!Box und ihre Einstellungen zu verschaffen.

Von schönreden kann hier keine rede sein...

Generell gebe ich Dir aber recht, AVM ist vermutlich der Liebling von so manchem Redakteur.



Edit:
ich bin mal gespannt wann ich von Vodafone das update für meine 6660 bekomme. Bei mir wurde erst am 31.08.2023 auf die 7.56 aktualisiert :freak:
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: lkullerkeks, Mcr-King und Engaged
Chriz schrieb:
Wobei CB hier doch ziemlich Klartext spricht.


Von schönreden kann hier keine rede sein...

Generell gebe ich Dir aber recht, AVM ist vermutlich der Liebling von so manchem Redakteur.
Ja hier wurde es klar gesagt, aber diskutieren hier ja auch schon seit gestern über das unvermeidliche.
Aber so welche wie WinFuture wollen sich wahrscheinlich Infos für ihr "WinFuture exclusive" Label nicht mit AVM versauen, aber einfach mal von einem stabilitäts Update zu reden ist auch schon grob fahrlässig anstatt die Leute zu warnen, sind doch sonst mit ihren clickbait überschriften auch immer nur auf Klicks aus. 🤷🏻‍♂️
 
Aber was genau bringt die Lücke dem angreifer? Man kann nicht mehr ins Internet. Was passiert sonst und inwiefern profitiert derjenige davon?
 
  • Gefällt mir
Reaktionen: Zocker1996
Da wurde wahrscheinlich nur getestet als es entdeckt wurde was denn so geht.
Eine Kiste zu übernehmen und diese dann vom Internet zu kappen wäre ja das dämlichste was man machen kann.
Kann man remote VPN Profile erstellen?
Und sich dann Zugang zum Netzwerk verschaffen, oder sogar ganz ohne VPN über diese port Lücke halt?

Da geht auf jeden Fall mehr als nur das Internet zu verstellen, sonst hätte Vodafone ja nicht innerhalb eines Tages für die kabelboxen nachgezogen, so schnell waren die noch nie, und kabelboxen haben gar keine Internet Zugangsdaten weil das per MAC-Adresse verbunden wird.
 
  • Gefällt mir
Reaktionen: Mahagonii
TomH22 schrieb:
Wie gerade hier:

https://www.computerbase.de/forum/t...ay-luecke-in-avm-routen.2158902/post-28570038

diskutiert wird, kann es sein, das auch bei Weiterleitungen des Port 443 auf interne Geräte (z.B. Webserver, Nextcloud Host, usw.) die Lücke ausgenutzt werden kann.
Unwahrscheinlich - das ist wohl viel eher ein Übersetzungsproblem. Der Satz ergibt so nämlich keinen Sinn. Weil: "gain control of the device through port 443 whether a router service is exposed or if set as forwarding to another device" irgendwie quatsch ist.
"a router service is exposed" ist Käse. Was ist ein "router service"? Das ist doch keine Layer 7 Firewall wo man vielleicht Services freigibt. Und wenn dann wäre immernoch "Router" dort irgendwie falsch.
Mir klingt das eher nach dem Routing Dienst oder dem Dienst des Webinterfaces des Routers.


Sinn würde nur ergeben, wenn man die Web Oberfläche extern erreichbar macht - was ja in den Settings geht. Ob da auch bei gleichzeitigem tcp443 Forwarding geht? Keine Ahnung, müsste mal wer probieren. Könnte mir vorstellen, die FB ist dann über nen anderen Port erreichbar von Public - was dann eben Sinn ergeben würde, warum es keine Rolle spielt ob man 443 forwardet oder nicht.

Unwahrscheinlich ist, dass der NAT Mechanismus selbst angreifbar ist. Das ist simpelstes Netzwerk Zeug, da ist keine Magic oder so dabei. Du kommst nicht an die Daten ran, wenn 443 nach intern weitergeschoben wird.
Was vielleicht noch geht wäre via IPv6 - vllt meinen die auch das. Leider sind Beiträge von nicht IT Technikern bei sowas dann noch maschinell übersetzt, sehr weit interpretierbar.

DonSerious schrieb:
Aber was genau bringt die Lücke dem angreifer? Man kann nicht mehr ins Internet. Was passiert sonst und inwiefern profitiert derjenige davon?
Es muss ja mehr gehen als nur an das WebInterface zu kommen.
Sprich irgendwie kommt man in die Kiste rein - es wäre also nicht undenkbar, dass der Zugriff, wenn er weitreichend genug ist, für das Eingliedern des Gerätes in ein Botnetz bspw. missbraucht wird. Man könnte die Konfig ändern - VPN Tunnel mit default Route durch den Tunnel bspw. - da wäre ein MitM Angriff denkbar.
Weiterhin kann wer, der Zugriff auf das Gerät hat, natürlich über das Gerät LAN only Geräte angreifen indem er Proxy Dienste auf dem Gerät bereit stellt oder Ports freigibt.
 
  • Gefällt mir
Reaktionen: Engaged
DonSerious schrieb:
Aber was genau bringt die Lücke dem angreifer? Man kann nicht mehr ins Internet. Was passiert sonst und inwiefern profitiert derjenige davon?

Vor Jahren mal wurden an der Fritte mal die SIP-Daten manipuliert, dann hast Du über eine teure Vorwahl telefoniert. Beim jetzigen Fall lese ich das aber nicht heraus!
Aber dass Du kein Internet hast bedeutet ja nicht, dass die Fritte komplett weg vom Netz ist. Wer im Netzwerk ist, kann sich dort auch umsehen (ich denke da jetzt mal an Daten auf dem NAS) - oder es war ein Testlauf.... Aber das ist derzeit alles nur Spekulation.
 
Engaged schrieb:
Und sich dann Zugang zum Netzwerk verschaffen, oder sogar ganz ohne VPN über diese port Lücke halt?
Über die GUI braucht es dafür nen 2FA Token oder den Klick auf einen Button seit 7.50, sofern das nicht vorher händisch deaktiviert wurde. Bei WG zumindest. IPSec nicht probiert.
Aber unter der Decke kann das auch ohne entsprechende Bestätigung möglich sein, je nachdem, wie tief man in den Code rein kommt.
 
  • Gefällt mir
Reaktionen: Der Lord und Engaged
fdsonne schrieb:
Weiterhin kann wer, der Zugriff auf das Gerät hat, natürlich über das Gerät LAN only Geräte angreifen indem er Proxy Dienste auf dem Gerät bereit stellt oder Ports freigibt.
Da Rächt es sich an dieser Stelle noname China smart Kram ohne fw Updates zu betreiben?
Kann man als Laie überhaupt rausfinden ob Geräte im Netzwerk kompromittiert sind?
 
Engaged schrieb:
Da Rächt es sich an dieser Stelle noname China smart Kram ohne fw Updates zu betreiben?
Ja und nein. Kommt halt drauf an. Updates helfen ja nix, wenn die Lücken nicht gefixt werden - dafür müssen sie gefunden und gemeldet werden. Aber ja, noname Zeugs ist da sicher anfälliger.

Ob man hier aber soweit geht, ist völlig offen. Das ist eher ein theoretischer Angriffsvektor.
Praktisch viel einfacher wäre da bspw. wenn man den DNS in der Fritzbox manipuliert, damit die internen Geräte manipulierte DNS Antworten erhalten und zu den falschen Zielen verbinden, wo man dann bspw. Smart Home Geräte zu nem kompromittierten Server schickt und dann Rückwärts Code da rein lädt. Denn nicht selten sind da Verschlüsslungen eher ungenügend und hart codierte Passwörter oder so finden sich auch nicht ganz so selten.

Manuell Ports zu Geräten im LAN zu öffnen ist eher ne Theorie, praktisch wird den Aufwand wahrscheinlich Niemand betreiben. Man will meist ja nicht den einen Menschen angreifen, sondern mit der Gieskanne so einfach wie möglich an so viele wie möglich Ziele kommen. Individuelle Sachen fallen da sehr schnell aus dem Raster.
Engaged schrieb:
Kann man als Laie überhaupt rausfinden ob Geräte im Netzwerk kompromittiert sind?
Schwierig bis unmöglich würde ich meinen. Weil in aller Regel selten gut dokumentiert ist, welcher Traffic jetzt gut und welcher potentiell böse ist. Häufig finden das Sicherheitsanalysten ja erst raus wenn sie vergleichen und Anomalien dabei feststellen.
 
  • Gefällt mir
Reaktionen: justFlow, Der Lord und Engaged
Zurück
Oben