News AVM Fritz!Box: Zahlreiche DSL-Router von Sicherheitslücke betroffen

[smuper]

Also im Endeffekt ist man wieder der doofe.

Eigentlich schon, aber

BETROFFEN SIND LAUT REDTEAM NUR UND OHNE AUSNAHMEN
FRITZ!Box 3272/7272, 3370/3390/3490, 7312/7412, 7320/7330 (SL), 736x (SL) und 7490


Für die gesamten Boxen steht bereits ein Update zur Verfügung. Diese ganze Meldung ist ziemlich hoch aufgehangen.

Wobei es nicht schaden kann, wenn einige Nutzer nun ihre betroffene Box auf den neusten Stand bringen, so ist es ja auch von Redteam vorgesehen.

Ergänzung (8. Januar 2016)

Es sind bei der aufgeführten Lücke nur DSL-Router betroffen, für die AVM bereits eine aktuelle Firmware anbietet. Kabel-Router sind nicht betroffen. Der Artikel war dahingehend ein wenig missverständlich und wurde korrigiert.

Nein, er ist immer noch falsch, oder hast du andere Quellen als den RedTeam Artikel? Dann wäre es gut diese zu nennen. Du siehst doch zu was dieser Artikel hier führt, das kann doch nicht gewollt sein?

 

[Dumdi]

Geht mir genau so - hab ne 6490 von Unitymedia mit 6.24 - da kommt lange nichts neues

Zitat : Kabelrouter sollen dagegen nicht von der Lücke betroffen sein.

Lesen ... verstehen ... Finger von den Tasten lassen.

 

[X23^Piracy]

Hi,

ich setze noch immer FritzOS 5.x ein, die Lücke kann man sich selbst relativ leicht schließen in dem man die ar7.cfg editiert und das Webif einfach mal auf einen hohen Port legt.

Somit sind alle Angriffe sinnlos und ich habe noch keine Manipulierte Webseite gefunden die nicht ausschließlich Port 80 versucht.


Gruß X23

 

[Vindoriel]

Es sind bei der aufgeführten Lücke nur DSL-Router betroffen, für die AVM bereits eine aktuelle Firmware anbietet. Kabel-Router sind nicht betroffen. Der Artikel war dahingehend ein wenig missverständlich und wurde korrigiert.

Immer noch falsch:
Schlagzeile:

DSL-Router mit Firmware vor Version 6.30 sind nicht sicher

Müsste noch "Einige" davor.

Erster Satz:

Das RedTeam hat eine Sicherheitslücke in AVMs Router Fritz!Box publik gemacht, die alle Firmware-Versionen vor 6.30 betrifft.

... die alle Firmware-Versionen bei den Modellen (Auflistung) vor 6.30 betrifft


Edit: Die Aktualisierung kam nach dem Posting vom Verfasser, während ich das hier geschrieben hatte.
Wobei "einige" passender wäre als "zahlreiche" und die Firmware sollte weider mit rein (oder "alter Firmware").

 

[smuper]

@mischaef

Moment, jetzt ist er inhaltlich korrekter. Über das "laut AVM" kann man sich streiten, aber die Überschrift könnte noch entschärft werden.

Ergänzung (8. Januar 2016)

Jetzt stimmt auch das "laut AVM", es steht ja auch so im Changelog :-)

Dankeschön. Jetzt wird es nur noch diejenigen verwirren die des Lesens nicht mächtig sind.

 

[Wishbringer]

Frei nach Bericht RedTeam:
Angriff nur aus dem Intranet, z.B. über manipulierte Webseite, welche dann auf einem Rechner im Intranet geöffnet werden.

Der Angriff erfolgt über den Port 8080, über eine SOAP-Msg, die zu lang ist.
Die FritzBox lauscht die ganze Zeit auf diesem Port. Kann man als normaler User nicht abstellen.

Aber als Sicherungsmaßnahme kann man als normaler User:
den Namen (DNS) der Fritzbox von "fritz.box" auf irgendwas anderes abändern.
die default IP von 192.168.178.1 auf eine andere ungebräuchlichere IP abändern.

Und das geht auch bei den nicht gepatchten Boxen.
Aber da ist das Update-Einspielen wohl einfacher.

 

[DerKonfigurator]

Und deshalb kauf ich keine dieser Fritzboxen.

(Und weil sie, sagen wir mal, etwas teuer sind für das was sie bieten, ist aber subjektiv)

 

[Luxuspur]

Eine Lücke die bereits Okt.2015 gefixt wurde! So kann man halt auch Schlagzeilen machen. ich meine CB war ja noch nie aktuell was News angeht, aber das?

Wer seinen Router nicht aktuell hält ... trägt auch die volle Eigenverantwortung! Zwangsrouter mal ausgenommen, aber wer da seinem Provider kein Feuer unterm Arsch macht ... siehe oben ;p

 

[smuper]

Und deshalb kauf ich keine dieser Fritzboxen.

(Und weil sie, sagen wir mal, etwas teuer sind für das was sie bieten, ist aber subjektiv)

Man kann ja vieles über AVM sagen, aber der langjährige Support ist nun wirklich nicht angreifbar.

Welche Router Hersteller im Heimbereich versorgen denn ihre Geräte überhaupt und wie lange mit Sicherheitsupdates? Andererseits sind die Fritzboxen natürlich deutlich interessanter für Kriminelle, immerhin hat man im Erfolgsfall gleich einen großen Teil der deutschen Internetnutzer am Kragen.

Eine Lücke die bereits Okt.2015 gefixt wurde! So kann man halt auch Schlagzeilen machen.

Wer seinen Router nicht aktuell hält ... trägt auch die volle Eigenverantwortung! Zwangsrouter mal ausgenommen, aber wer da seinem Provider kein Feuer unterm Arsch macht ... siehe oben ;p

In der jetzigen Form ist die News auf jeden Fall wichtiger als 90% des Rests.

 

[Wilhelm14]

@mischaef: Könnte Computerbase noch etwas recherchieren? Vor zwei Jahren gab es Meldungen mit demselben Symptom, Angreifer konnten über die Fritzbox Telefonkosten verursachen.
https://www.computerbase.de/2014-02/avm-weist-auf-missbraeuchliche-nutzung-bei-fritz-box-hin/
https://www.computerbase.de/2014-02/update-fuer-avm-fritz-box-schliesst-sicherheitsluecke/
https://www.computerbase.de/2014-02/angriffe-auf-fritz-box-router-ohne-fernzugriff-moeglich/

Wurde die Lücke vor zwei Jahren doch nicht geschlossen?
Oder ist es eine weitere Lücke, die nur dasselbe kann?

Edit: Heise ist auch nicht aufschlussreicher und erwähnt den Fall vor zwei Jahren auch nicht.
http://heise.de/-3065588

Edit2: o2 hat etwas ähnliches: http://heise.de/-3066225

 

[smuper]

@wilhelm14

Die Lücke ist eine andere. Das Ergebnis ist aber auch hier ein Vollzugriff mit dem sich natürlich das gleiche Szenario wie im anderen Fall realisieren lässt.

 

[Luxuspur]

In der jetzigen Form ist die News auf jeden Fall wichtiger als 90% des Rests.

ja klar und wer ist schuld wenn heute 2016 einer eine Lücke nutzt, die bereits Okt.2015 gefixt wurde ? Sorry aber User die es da trifft haben es echt nicht anders verdient!

 

[Vindoriel]

Könnte Computerbase noch etwas rechechieren? Vor zwei Jahren gab es Meldungen mit demselben Symptom, Angreifer konnten über die Fritzbox Telefonkosten verursachen.

Andere Ursache und wurde auch gefixt. Übrigens kam dann auch eine neue Firmware für die uralte 7170, nur mal zur Info für die Leute, die über Support meckern.

Und deshalb kauf ich keine dieser Fritzboxen.

Dann schau mal, was alles an News über Lücken bei Asus, D-Link & Co. kamen. Da ist das hier mit den Fritzboxen gerade mal die zweite Meldung in den letzten "zig" Jahren.
Wer da über AVM meckert, hat wohl keinen besonders ausgeprägten Realitätssinn...

 

[Luxuspur]

eben die meisten Meldungen lauteten Fritzbox nicht betroffen ;p

 

[Autokiller677]

Das erklärt wohl, weshalb meine 7430 noch bei 6.26 rumhängt - ist nicht betroffen.

@CB:
Die Überschrift ist schlecht, da suggeriert wird, die Lücke bestehe aktuell. Da es aber seit Monaten einen Patch gibt, ist das nicht mehr der Fall, sofern man sich halbwegs um seine Hardware kümmert.

 

[hrafnagaldr]

Wenn man vom Provider abhängig ist, wegen Zwangs-Router, hat man dich Arschkarte gezogen. Meine Fritze dümmelt noch mit Version 6.26 rum.

Jo da sehe ich auch das Hauptproblem. Deshalb hab ich meine 7490 so gekauft, bei der Telekom geht das ja zum Glück. Mein Fahrradhändler hat eine 7490 von Mnet, da ist auch nix mit updaten.

Zwangsrouter sind einfach Mist, gerade wenn dann solche Lücken aufkommen. Bei meiner Fritz, die auch wirklich meine ist, bekomme ich sofort ne Email, wenns ne neue Software gibt.

 

[Luxuspur]

Zwangsrouter existieren nur weil es genug Leute mit sich machen lassen!

 

[Autokiller677]

Zwnagsrouter existieren nur weil es genug Leute mit sich machen lassen!

Nein, weils bisher nicht verboten war. Dem ist jetzt ja zum Glück ein gesetzlicher Riegel vorgeschoben.

Oder, ok, strengenommen, weil die Leute es mit sich machen lassen - aber wenn ich die Wahl zwischen kein Internet und Internet mit Zwangsrouter habe, nehme ich wohl den Zwangsrouter.

 

[Luxuspur]

Nein, weils bisher nicht verboten war. Dem ist jetzt ja zum Glück ein gesetzlicher Riegel vorgeschoben.

würde keine solche Angebote annehmen gäbe es die auch nicht ... es braucht kein Verbot, was sich nicht verkauft verschwindet vom Markt! Bzw. würden die Kunden da Sturm laufen bei solchen Lücken würden der Anbieter auch schneller reagieren!

Nur warum sollte der den überhaupt ? Verkauft sich doch auch so ganz gut! Jeder kriegt das was er verdient.

 

[Vindoriel]

Oder, ok, strengenommen, weil die Leute es mit sich machen lassen - aber wenn ich die Wahl zwischen kein Internet und Internet mit Zwangsrouter habe, nehme ich wohl den Zwangsrouter.

Oder man nimmt einen Anbieter, der keinen Zwangsrouter hat (z.B. Telekom bei DSL) bzw. garantiert, das es ein Retail-Gerät ist (z.B. die 7170 früher bei Freenet).
Man muss ja nicht Vodadreck & Co. nehmen!