News Fritz!OS 7.27 gegen FragAttacks: AVM verteilt neue Firmware gegen Sicherheitslücke

Status
Für weitere Antworten geschlossen.
t3chn0 schrieb:
Gibt es einen aktuellen Modemrouter
Gibt es in der Form einer 7590AX die es schon zu kaufen gibt wenn auch nicht in ausreichenden Mengen. Wie stellst du dir Advanced QoS vor?
 
TCHAMMER schrieb:
Wie stellst du dir Advanced QoS vor?
Vermutlich so.
1622979997242.png


Da aber ASUS aktuell noch keine WiFi 6 Modemrouter hat und auch im Businessbereich AX noch nicht angekommen ist, sieht es derzeit schlecht aus. Abgesehen von ASUS sind mir sowieso im Privatkundensegment keine Router bekannt, die eine Engine zur Trafficerkennung einsetzen und ein QoS auf Basis von Inhalten anbieten.

Die meisten Anbieter erlauben nur starre Regeln, die schwer zu konfigurieren und oftmals nutzlos sind, wenn die Dienste jeglichen Verkehr über Port 443 laufen lasen.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Jake Grafton, t3chn0 und Engaged

Wichtige Infos kopiert:​


Wie schwerwiegend sind die Lücken?

The design issues are, on their own, tedious to exploit in practice. Unfortunately, some of the implementation vulnerabilities are common and trivial to exploit. Additionally, by combining the design issues with certain implementation issues, the resulting attacks become more serious. This means the impact of our findings depends on the specific target. Your vendor can inform you what the precise impact is for specific devices. In other words, for some devices the impact is minor, while for others it's disastrous.

Wie kann das sein, dass so eine Lücke erst jetzt erkannt wird?

When the 802.11n amendment was being written in 2007, which introduced supported for aggregated (A-MSDU) frames, several IEEE members noticed that the "is aggregated" flag was not authenticated. Unfortunately, many products already implemented a draft of the 802.11n amendment, meaning this problem had to be addressed in a backwards-compatible manner. The decision was made that devices would advertise whether they are capable of authenticating the "is aggregated" flag. Only when devices implement and advertise this capability is the "is aggregated" flag protected. Unfortunately, in 2020 not a single tested device supported this capability, likely because it was considered hard to exploit. To quote a remark made back in 2007: "While it is hard to see how this can be exploited, it is clearly a flaw that is capable of being fixed."


In other words, people did notice this vulnerability and a defense was standardized, but in practice the defense was never adopted. This is a good example that security defenses must be adopted before attacks become practical.

Was kann man tun?

First, it's always good to remember general security best practices: update your devices, don't reuse your passwords, make sure you have backups of important data, don't visit shady websites, and so on.





In regards to the discovered Wi-Fi vulnerabilities, you can mitigate attacks that exfiltrate sensitive data by double-checking that websites you are visiting use HTTPS. Even better, you can install the HTTPS Everywhere plugin. This plugin forces the usage of HTTPS on websites that are known to support it.


To mitigate attacks where your router's NAT/firewall is bypassed and devices are directly attacked, you must assure that all your devices are updated. Unfortunately, not all products regularly receive updates, in particular smart or internet-of-things devices, in which case it is difficult (if not impossible) to properly secure them.


More technically, the impact of attacks can also be reduced by manually configuring your DNS server so that it cannot be poisoned. Specific to your Wi-Fi configuration, you can mitigate attacks (but not fully prevent them) by disabling fragmentation, disabling pairwise rekeys, and disabling dynamic fragmentation in Wi-Fi 6 (802.11ax) devices.


Was das bedeutet ist mir noch nicht ganz klar:

The original disclosure date was March 9, 2021. Roughly one week beforehand it was decided to delay the disclosure. At this time Microsoft had already committed to shipping certain patches on March 9. I agreed that already releasing certain patches without providing information about the vulnerabilities was, at that point, an acceptable risk. Put differently, the advantages of delaying the disclosure appeared to outweigh the risk that someone would reverse engineer the patches and rediscover certain attacks.

(Quellen für obiges: Die Website https://www.fragattacks.com/ ist gut gemacht.)

Noch offen bleibt: Was passiert, wenn man nen älteren Router hat, der nicht geupdatet wird? Kann jemand dann alles mitlesen oder das Wlan nutzen? (auf der Website steht nur: "[...]can abuse these vulnerabilities to steal user information or attack devices[...]".)
 
Zuletzt bearbeitet:
xexex schrieb:
Da aber ASUS aktuell noch keine WiFi 6 Modemrouter hat

Glaube für ASUS rentiert es sich nicht mehr hab ich den Eindruck selbst das Letzte Modell ( DSL-AC68VG ) hat schon lange kein Update erhalten.
 
TCHAMMER schrieb:
Wie stellst du dir Advanced QoS vor?
Da reicht es doch, das Endgerät komplett zu priorisieren (ein neues Feature der Fritzbox), in Verbindung mit der priorisierten (Echtzeit-)Anwendung.
https://avm.de/fritz-labor/frisch-a...ung-fuer-ungestoertes-arbeiten-im-homeoffice/

Zugangs-Eigenschaften​

Priorisierung
Dieses Gerät priorisieren
Sobald die Internetverbindung voll ausgelastet ist, wird dieses Gerät bevorzugt und es werden nur entsprechend hoch priorisierte Daten übertragen. Dies kann zu Einschränkungen für andere Geräte und weniger hoch priorisierte Anwendungen führen. Bei Aktivieren dieser Funktion wird Ihr Gerät zu den priorisierten Geräten mit Echtzeitanwendungen hinzugefügt. Weitere Anpassungen können Sie unter Priorisierung vornehmen.
Bitte beachten Sie, dass die Priorisierung Ihres Gerätes so lange gilt, bis Sie diese wieder deaktivieren.
 
Zuletzt bearbeitet:
TCHAMMER schrieb:
Glaube für ASUS rentiert es sich nicht mehr
Der deutsche Markt ist halt vergleichsweise klein und AVM hat hier überall den Fuß in der Tür. Rufe mal bei der 1und1 Hotline an und sag du hättest keinen AVM Router dran, da muss du schon etwas versiert und hartnäckig sein um überhaupt Unterstützung zu bekommen, selbst wenn die Leitung offensichtlich tot ist.

Das zieht sich natürlich durch diverse Provider hinweg, einzig die Telekom ist hier (zwangsweise?) relativ neutral, somit ist der Markt natürlich für andere Anbieter recht uninteressant.

deo schrieb:
Da reicht es doch, das Endgerät komplett zu priorisieren
Was einem reicht und was nicht, muss schon derjenige entscheiden. Mit "advanced" QoS hat dieses Feature nichts zu tun, das ist praktisch die "billigste" Art von QoS. Das "beste" QoS ist allerdings noch immer kein QoS machen zu müssen, aber diesen "Luxus" hat leider nicht jeder.

Wer allerdings nach Supervectoring Unterstützung fragt und somit 250Mbit/s anstrebt, sollte sich allerdings um QoS keine allzu großen Gedanken machen müssen.
 
Zuletzt bearbeitet:
Auch 1GB/s nutzt einem nichts, wenn der Upload schon viel früher zu ist. Ohne den kommt auch nichts mehr von der großartigen Downloadrate bei einem an.
Der Unterschied von VDSL100/40 zu 250/50 sind nur 10Mbit/s beim Upload.
 
deo schrieb:
Auch 1GB/s nutzt einem nichts, wenn der Upload schon viel früher zu ist. Ohne den kommt auch nichts mehr von der großartigen Downloadrate bei einem an.
Dafür benötigt man (eigentlich) kein QoS, die bevorzugte Übertragung der TCP ACK Pakete sollte bereits durch das Traffic Shaping dauerhaft aktiviert sein. Ich gebe dir allerdings recht, QoS im Upstream kann durchaus wichtiger sein und hier kommt man auch schneller an die Grenze.

Vorsicht! Die Angabe ist schon was älter und in der Form natürlich nicht über die Weboberfläche einsehbar.
1622986676265.png
 
Zuletzt bearbeitet:
Dann habe ich noch ein paar Frage =).

Ich hatte mir einen Modemrouter von Asus bestellt mit WiFi 5:

https://www.asus.com/de/Networking-IoT-Servers/Modem-Routers/All-series/DSL-AC68VG/

Dieser war für Annex A, obwohl ich bei meiner Fritzbox Annex B verwende. Während ich mit meiner 7530 rund 270 Mbit down und 40 Mbit up habe, hatte ich mit dem Router von Asus nur 130 Mbit down und 38 Mbit up, hat das was mit dem Annex A/B zu tun? Wenn ich versucht habe G.Fast (35B) zu aktivieren, hat der Asus Router einfach keine Verbindung mehr aufgebaut.

Nun bin ich wieder bei der 7530 und ja... leider ist die WLAN Stärke schon deutlich schlechter als beim Asus Router mit seinen richtigen Antennen.

Gibt es einen Unterschied von der "Performance" zwischen 7530 und 7590? Die 30 soll ja einen Quadcore haben, während die 90 einen Dualcore Prozessor hat. Macht das einen Unterschied?
 
t3chn0 schrieb:
Nun ja, das ist so als würdest du die Internationale Version der FB kaufen, offiziell läuft sie in Deutschland gar nicht weil hier nun mal alle Anschlüsse Annex B sind.

Ob das jetzt die Ursache für das seltsame Verhalten des Asus Routers war, weiss ich allerdings nicht.

Annex A nützt ein etwas größeres Frequenzspektrum und Frequenzen die hier für ISDN gesperrt sind. Es kann also durchaus sein, dass ein solches Modem hierzulande gar keine Verbindung hinbekommt oder es zu Problemen kommt.
 
Cool Master schrieb:
Kann ich nicht bestätigen.
Nach ca.3 Tagen ( also min. 3 Herunterfahren) geht der 2.5 Gbit Port nicht mehr. Erst nach dem man die FB Stromlos gemacht hat geht es wieder. AVM arbeitet ja auch schon daran. Dachte mir das es mit der neuen Version nicht mehr passiert. Also ich nutze den 2.5 GBit port auch mit 2.5 GBit Hardware. Mal schauen wann sich AVM meldet.
 
Meiner Meinung nach recht schäbig, dass AVM viele Router nach so kurzer Zeit EOL setzt und so einerseite versierte Nutzer zum Gedausgeben zwingt und unerfahrenen Nutzern eine Sicherheitslücke nicht fixt.
 
Zuletzt bearbeitet:
@Namron1

Hmm ok, ich fahre die Box nicht runter und nutze nur 1 GBit da ich am NAS direkt mit 10 GBit dran gehe und die Box überspringe. Evtl. schon mal ein kompletten Reset gemacht und die FW neu aufgespielt?
 
Cool Master schrieb:
@Namron1

Hmm ok, ich fahre die Box nicht runter und nutze nur 1 GBit da ich am NAS direkt mit 10 GBit dran gehe und die Box überspringe. Evtl. schon mal ein kompletten Reset gemacht und die FW neu aufgespielt?
Alles gut. AVM Support arbeitet schon seit 3 Wochen an dem Problem. Wie gesagt mal schauen wann AVM sich bei mir mit einer Lösung meldet.
 
  • Gefällt mir
Reaktionen: Cool Master
Die armen Kunden von Vodafone Kabel müssen wohl wieder Monate auf diese wichtige Firmware warten.

Ich bin froh, mir selbst vor paar Tagen eine eigene 6660 Cable gekauft zu haben.

Zudem sind 7530 und 7520 baugleich und lediglich künstlich (1&1) ausgebremst.
Die Firmware hätte zeitgleich erscheinen müssen.
 
KD bzw Vodafone pennt mal wieder obwohl das ganze ja kritisch zu sein scheint.

meine 6490 Cable Mietbox läuft immernoch mit 7.20!! :/
 
  • Gefällt mir
Reaktionen: Newblader
Status
Für weitere Antworten geschlossen.
Zurück
Oben