[Frage] 7390 - automatischer Updateversuch von heute Nacht?!

Kann eben auch die Telekom gewesen sein,die das Update gepushed haben....
Müsste dafür nicht ein TR-069-Server der Telekom in der Fritzbox-Config hinterlegt sein? Das wäre mir neu, die Telekom setzt hauptsächlich auf ihre Speedports. Hat das mal jemand überprüft?
 
Kann eben auch die Telekom gewesen sein,die das Update gepushed haben....
Wie das? Seit wann funktioniert TR-069 der FRITZ!Box in Verbindung mit der Telekom und warum sollte die das machen, wenn der Provider bei @Herm doch EweTel ist?

- - - Aktualisiert - - -

AVM hat mir als Antwort auf meine Anfrage geschrieben, dass sie das Problem nicht nachvollziehen können und ich soll Supportlogs schicken.
Wenn das nicht nur wieder der "Anrufabwimmler" im 1st-Level-Support war, will man das Problem vermutlich ignorieren.

Auch wenn sich die Stimmen von Leuten mehren, die ihrerseits beschwören würden, daß sie ihren FRITZ!Boxen das automatische Update verboten haben (und "nur benachrichtigen" ist auch ein Verbot, nicht nur das Abschalten der gesamten Background-Kommunikation mit dem Hersteller, weil man dann nämlich automatisch auch von Updates für andere FRITZ!-Komponenten abgeschnitten ist, deren Update nur über die FRITZ!Box funktioniert), sind es aber wohl noch nicht genug davon, damit sich das zu einem Problem auswächst, was man bei AVM auch wahrnehmen muß.

Denn wenn man es genau betrachtet, ist es schon ein ziemlicher Skandal - es muß auch an geänderten Abfrage-Ergebnissen vom AVM-Service liegen, denn 06.51 war lange genug bereits verfügbar und wurde über Wochen nur mit einer entsprechenden Push-Mail "Neues FRITZ!OS gefunden" gemeldet.

Diese Umstellung auf "nicht nur melden, sondern auch installieren" erfolgte bei der Box, über die ich hier rede, am 22.09.2016 um 10:49 Uhr ("update_found_time = "2016-09-22 10:49:59";" in der ar7.cfg der Sicherungsdatei). Es gab zwei vergebliche Update-Versuche (jedesmal über "Gesicherte Einstellungen"-Mail dokumentiert) und im dritten Anlauf wurde die Box auf 06.51 aktualisiert, nachdem sie vorher wochenlang "nur" die Mail zur neuen 06.51 gesendet hatte. Zumindest wurde also die "Einstufung" für die Dringlichkeit bei AVM geändert und davon sollte man schon etwas wissen ... oder man hat Hacker im System bei AVM (keine Ahnung, ob man das generell ausschließen sollte als These).

Denn selbst wenn ein FRITZ!Box-Besitzer das automatische Update zugelassen haben sollte, muß es irgendeine Änderung im Verhalten gegeben haben ... sogar wenn es irgendeine "deadline" für den Update-Info-Service bei AVM geben sollte, ab der so ein Update automatisch "hochgestuft" wird, sollte man das ja wohl bei AVM wissen. Wo denn sonst, wenn nicht dort? Das riecht (man könnte auch schreiben "stinkt") nach einem Vorgehen, wie es bei AVM natürlich niemals vorkommen würde ... dort käme man niemals auf die Idee, auch auf eine Problembeschreibung, die hier schon x-mal "breitgetreten" wurde und wo mehrere IPPF-Leser schreiben, sie hätten es an AVM gemeldet, mit einem "Da haben wir ja noch niemals von gehört." zu antworten.

Die zweite Frage wäre es dann, wieso das "auto_update_enable" in demselben Abschnitt der "ar7.cfg" von alleine die Einstellung von "no" auf "yes" wechselt. Solange es ein oder zwei Stimmen waren, die sich mit ihrer FRITZ!Box nur sehr selten befassen, konnte man noch "Irrtum" unterstellen ... ich bin aber auch bereit zu beschwören, daß bei dieser Box "nur benachrichtigen" eingeschaltet war und ich habe einige zwischenzeitlich gespeicherte Sicherungsdateien (von der Version, die "zwangsaktualisiert" wurde), in denen es deutlich sichtbar ausgeschaltet ist. Da es sich zudem noch um eine selbstmodifizierte FRITZ!OS-Version handelte (aber kein Freetz), war auch ein Update niemals erwünscht und führte im Ergebnis auch dazu, daß die Zusatzfunktionen nicht mehr vorhanden waren und es - wegen der verbesserten Sicherheit beim Installieren unsignierter Firmware-Images - auch nicht mehr machbar war, ohne das Ausnutzen von Sicherheitslücken in der 06.51 aus der Ferne dort wieder eine eigene Firmware-Version zu installieren.

Wie AVM hier mit der Arbeit ihrer Kunden umgeht und daß man das Thema solcher "unerwünschten" Updates mehr oder weniger ignoriert (ich habe es allerdings nicht selbst gemeldet, das war mir dann wieder egal, weil ich über andere Lücken eben doch installieren konnte - da habe ich mir das absehbare Verschwenden weiterer Zeit mit dem AVM-Support gespart), kann ich wieder einmal nicht verstehen.

Wenn so ein unerwünschtes Update auf eine Fehlfunktion zurückzuführen sein sollte (da AVM ja ggü. @BlueEx behauptet, man hätte keine Ahnung und nichts selbst geändert), dann sollte man doch unterstellen, daß der Hersteller seinerseits ein Interesse an einer Klärung hat, oder? So ein Update ist ja schon ein ziemlich heftiger Eingriff in die Autonomie des Kunden und wenn man das nicht im Griff hat, wie will man dann sicherstellen, daß nicht ein unzufriedener Angestellter irgendwann mal den Kunden eine verseuchte Firmware auf die Geräte pusht?

Wenn man das nicht nachvollziehen kann, ob/wann da Einstellungen geändert wurden, gibt es wohl keine ausführliche Dokumentation an dieser Stelle - und auch das gehört zur allgemeinen "Sicherheit" in der IT, daß man nachvollziehbare und fälschungssichere Protokolle derart wichtiger Prozesse erstellt und - vor dem Löschen geschützt - aufbewahrt.

Wenn das ein automatischer Prozess sein sollte, der die Firmware-Images erstellt und da nicht mind. zwei Leute gleichzeitig das OK zu einer Veröffentlichung geben müssen, könnte ein Einzelner (ohne daß man ihn im Nachhinein wirklich benennen kann, wenn die Protokolle fehlen oder verfälscht wurden) erheblichen Schaden anrichten und es ist nicht einmal sicher, daß man den überhaupt sofort bemerken würde.

Wie simpel es am Ende ist, eine FRITZ!Box zur Kontaktaufnahme mit einem C&C-Server zu bewegen und von dort "Anweisungen" zu erhalten, kann man schon durch das (externe - extern zum FRITZ!OS, nicht als "aus dem WAN" mißverstehen) Ausnutzen von Sicherheitsproblemen im FRITZ!OS immer wieder zeigen ... wieviel einfacher ist es da für einen Insider, irgendwo in der Firmware einen solchen Bot zu verstecken? Und das ist nicht nur "allgemeine Panikmache" ... das ist u.a. auch das Ergebnis von "closed source"-Komponenten an den wichtigsten Stellen des FRITZ!OS.

Ohne unbedingtes Vertrauen des Kunden in den Hersteller der Firmware dürfte man eigentlich so einen Router gar nicht mehr verwenden. Wenn beim Thema "DOCSIS-Zertifikate" ständig die Gefahr des Mißbrauchs eines fremden Anschlusses diskutiert wird, wieso dann eigentlich nicht auch bei der Möglichkeit, so einen Edge-Router unter fremde Kontrolle zu bringen und ihn zu mißbrauchen? Wenn man einen DSL-Anschluß zum Verschleiern der eigenen Herkunft mißbrauchen will, stört es auch nicht weiter, daß so ein Anschluß nur eine "endliche" Kapazität im Upstream bietet ... der Downstream ist in aller Regel besser "ausgestattet" und bremst so eine "Umleitung" nicht wirklich aus.

Wieviel einfacher das wiederum ist, wenn man es mit dem (korrekten) Klonen eines CM vergleicht, können sich viele vermutlich gar nicht vorstellen ... oder sie haben auch nur keine Vorstellung davon, wie einfach so eine Modifikation einer FRITZ!Box tatsächlich ist. Wenn die jemals tatsächlich in den Fokus von (professionellen) Angreifern rücken sollte, dann fallen AVM-FRITZ!Boxen genauso schnell (oder genauso langsam), wie die Consumer-Router jedes anderen Herstellers und wenn es um Geschwindigkeit beim Schließen von (bekannten) Sicherheitslücken geht, ist AVM auch nicht schneller (eher sogar noch langsamer, weil es eben keine "security releases" gibt) als jeder China-Hersteller. Der Unterschied ist vielleicht, daß es irgendwann mal ein Update geben könnte ... aber solange eine Sicherheitslücke nicht aktiv ausgenutzt wird, dauert es auch bei AVM nahezu ewig, bis der erste Versuch einer Korrektur überhaupt sichtbar wird.

Nun kann man das ja darauf schieben, daß es eine Liste von zu lösenden Problemen, sortiert nach Priorität, geben wird - das erklärt dann aber noch nicht, wieso Sicherheitsprobleme der Firmware offensichtlich dort ebenfalls eingeordnet werden und nicht automatisch am Beginn einer solchen Liste landen. Wenn es > 3 Monate braucht (04.07.-20.10.), um einen Fix für einen unauthentifizierten, externen DoS-Angriff "anzuschieben" (selbst wenn der auch erst mit dem nächsten Release veröffentlicht würde), dann muß man sich auch nicht wundern, wenn bei "festen Terminen" für irgendein Release (sollte es so etwas tatsächlich geben) noch offene Security-Probleme wieder hinten 'runterfallen und auf die nächste Version verschoben werden. Ob das dann eine kluge Vorgehensweise ist?
 
So die Story geht weiter...gestern Abend wurden über meine Fritzbox vom Internet aus Anrufe ins Ausland getätigt, offenbar zu Mehrwertdiensten.

Ich kann nicht sagen,ob dass mit diesem "gescheiterten" Firmwareupdateversuch zusammenhängt - ich kann es nur vermuten, da ich anderweitig keine Erklärung habe.

Jedenfalls lief es so ab - ich hatte (glücklicherweise) die Fritzbox im Sichtfeld, als ich die rot leuchtende Info-LED bemerkte. Zeitgleich sah ich, dass auch die LED für Telefonie immer wieder leuchtet, ausgeht, leuchtet...obwohl niemand telefonierte.
Ein Blick ins Webinterface liess mich schlucken. Dutzende Anrufversuche zu Rufnummern im Ausland (001, 005, 008 ...) wovon die meisten vom Provider geblockt (603 declined) wurden. Zwei Anrufe gingen jedoch erfolgreich durch.

Also erstmal in Panik den DSL-Stecker gezogen. In den Settings entdeckte ich dann zwei neu angelegte IP-Telefone sowie zwei (Fake- ?) VOIP-Rufnummern.

Als Sofortmassnahme habe ich die Telefone sowie Nummern gelöscht und alle Logfiles gesichert. Danach im Telekom-Kundencenter alle Auslandsanrufe gesperrt.

Ich habe bisher keine Ahnung, wie das passieren konnte. Ob dieser Firmwareupdateversuch vor einigen Wochen doch nicht gescheitert war und ich jetzt eine gehackte Box am laufen habe? Keine Ahnung.

FB 7390 mit FW 06.51
Fernzugang ist nicht aktiv

Werde am Wochenende ein Recover machen und alles von Hand neu konfigurieren ... ein Riesen Spass mit den ganzen SmartHome Geräten etc .... :(

Und auf die Telekom-Rechnung bin ich auch schon gespannt, das gibt sicher auch noch eine richtig nervige Geschichte...
 
Hattest du damals deine Passwörter geändert, als es massiven Telefoniemissbrauch der Fritzboxen über eine Sicherheitslücke gab?
War der Fernzugang auch noch auf "deaktiviert", als du die IP Telefone gefunden hast oder stand er (dann) auf aktiv? :-/
 
Zuletzt bearbeitet:
Denk bitte daran, dass sowas auch über einen Trojaner am PC passieren kann. Dann sollten sich im Log Hinweise finden, dass von der IP Deines PCs auf die Box-Oberfläche zugegriffen wurde (um die IP-Telefone einzurichten und/oder diese aus dem Internet freizuschalten).

Ich frage mich, ob es sinnvoll ist, die Box jetzt zu recovern oder anderweitig zurückzusetzen. Vielleicht könnten Experten von AVM, hier aus dem Forum (PeterPawn?) oder heise und Co. da noch nützliche Informationen extrahieren? Wäre doch blöd, wenn das auf einer bisher unbekannten Sicherheitslücke beruht, die vorerst weiterhin offen bleibt, weil AVM sie nicht kennt. Dann wären Du und jeder andere FritzBox-Nutzer weiterhin gefährdet.
 
Zuletzt bearbeitet:
Zwecks Pushmail hatte ich nun auch etwas seltsames (7490).

Heute Mittag als Pushmail bekommen:
FRITZ!OS-Update
Das FRITZ!OS Ihrer FRITZ!Box 7490 wurde *erfolgreich* aktualisiert.
Das Update erfolgte über die Updatesuche in der Benutzeroberfläche.
Aktuell verwenden Sie die FRITZ!OS-Version: 06.69-42369
Laut Box ist nach wie vor die 06.69-42369 INTERN installiert, die ich am 02.12 aufspielte.

Hoffe mal das war nur ein Bug in der FW, aber werde das sicherlich weiter beobachten. Die Box war wohl kurz vom Strom getrennt und zeitlich passt das zur Mail.
Ein mulmiges Gefühl bleibt trotzdem, denn reproduzieren durch PoR konnte ich es nicht...
 
Zuletzt bearbeitet:
Think About?

Denk bitte daran, dass sowas auch über einen Trojaner am PC passieren kann. Dann sollten sich im Log Hinweise finden, dass von der IP Deines PCs auf die Box-Oberfläche zugegriffen wurde (um die IP-Telefone einzurichten und/oder diese aus dem Internet freizuschalten).

Dass etliche "ältere" FBs auch spurlos seitens eines infizierten LAN-Clients manipulierbar sind, hat PeterPawn an diversen Stellen kommuniziert!

Unter Uns? Welch redlicher und fürsorglicher FB-Admin im heimischen Bereich hat allseine Clients unter lückenloser Beobachtung?

Extrapoliere ich das Problem ... Bei der Telekom sind SIP-Accounts nicht vagabundierend möglich ... bei 1und1 z.B. sehr wohl! ... Könnte dies für FB7390-User demnächst ein grösseres Problem darstellen?

LG und my2cent

Nachtrag: Liest man etwas wie beim TE von "Türsprechstelle" kommt mir rasch etwas wie CAM in den Sinn, wo es wohl auch Einfalls-Tore geben kann ;)
 
Zuletzt bearbeitet:

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,159
Beiträge
2,247,074
Mitglieder
373,678
Neuestes Mitglied
brainkennedy
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.