Achtung: Sicherheitslücke mit Fritz!OS bis 06.50 | 2016.06.07

meierchen006

Aktives Mitglied
Mitglied seit
7 Jun 2007
Beiträge
1,028
Punkte für Reaktionen
43
Punkte
48
Hallo,
habe soeben folgende Meldung von AVM gefunden:

Telefonmissbrauch bei Routern


In den letzten Tagen kam es in einzelnen Fällen zu Telefonmissbrauch in Verbindung mit Routern. Bezüglich der FRITZ!Box ist dies nach aktuellem Stand nur mit selten genutzten Konfigurationen in Verbindung mit älteren FRITZ!OS-Versionen möglich. AVM erhöht kontinuierlich die Leistungsmerkmale und Sicherheitsstandard der FRITZ!Box und empfiehlt daher grundsätzlich den Einsatz der jeweils neuesten Version, aktuell FRITZ!OS 6.50 oder höher. Auf der Benutzeroberfläche lässt sich die verwendete Version überprüfen und ein Update ausführen.
Für FRITZ!Box-Cable-Modelle stellen die jeweiligen Kabel-Provider das aktuellste Update bereit.



Weitere Tipps zur Sicherheit finden Sie im Ratgeberbereich.

https://avm.de/aktuelles/kurz-notiert/2016/telefonmissbrauch-bei-routern/

hier:
http://www.t-online.de/computer/har...steller-avm-warnt-vor-telefonmissbrauch-.html

und hier:
http://www.com-magazin.de/news/avm/avm-warnt-telefonmissbrauch-fritzbox-routern-1107512.html
 
Zuletzt bearbeitet:
Moins


Und?
Was mache ich denn dann, wenn es F!OS 6.50 für die eingesetzte Box (7360 SL) aller Vorraussicht nach nicht mehr geben wird?

1. Werkseinstellungen laden
2. Keine Telefonie einrichten
3. Internet nur noch über CGN IPv4 Mobilfunkinternet
supersicher.jpg
...HEUREKA.
 
Na, jetzt bin ich aber mal gespannt, wie schnell die Kabelprovider wie UM darauf reagieren ... das letzte mal hat es zig Wochen gedauert, bis das notwendige Update für die 6360 aktiviert wurde. Das wird meinungsbildend sein so kurz vor dem 1.8.2016!
 
Daß diese Angriffe auf einer Sicherheitslücke beruhen, die erst ab 6.5x gefixt ist, hat AVM nicht gesagt. Auch nicht, was genau denn diese "selten genutzten Konfigurationen" ausmacht. Alles sehr nebulös.
 
Ich habe gestern mit AVM telefoniert um herauszufinden, ob die 7390 mit FW 6.30 sowie die 7270 mit FW 6.05 betroffen sind. Ich habe bisher noch nicht auf 6.50/6.51 upgegradet, da die neue Oberfläche noch mit zu vielen funktionalen Bugs einhergeht (instabiles WLAN etc)...

Antwort:
7390 mit FW 6.30 ist von der genannten Lücke NICHT betroffen.
7270 mit FW 6.05 ist von der genannten Lücke NICHT betroffen.

Grüße, MGT
 
Zuletzt bearbeitet:
die Frage ist, welche sind betroffen - warum wird dies nicht konkret gesagt
Mail-Antworten von AVM am gestrigen Tage waren mehr wie kurios (um nicht zu sagen katastrophal)
ein Anruf brachte dann die Info, dass die Hotline selbst nicht weiß, ob es bspw. eine 6.50 für die 6360 überhaupt gibt - dies muss nun erstmal recherchiert werden.
mich würde daher nicht wundern, wenn die Aussage #8 aus dem "Bauch heraus" beantwortet wurde
 
Die in #10 verlinkte Lücke bezieht sich nur auf VR9-basierte Modelle, weil nur dort von AVM das von Lantiq bereitgestellte Programm zur Steuerung des DSL-Modems so in die Firmware integriert wurde, daß über einen (von lokal) offenen Port dort entsprechende Kommandos an diesen Code gesendet werden konnten.

Der erwähnte Puffer-Überlauf tritt dann auch in diesem "fremden Code" auf ... nur deshalb konnte der Exploit von RedTeam theoretisch entwickelt werden (weil man die Lantiq-/Infineon-Quellen eines anderen Modells eines anderen Herstellers als Basis für die Suche benutzen konnte, denn von AVM erhält man diese Code-Teile nicht ... ggf. von Infineon direkt, wobei das inzwischen wohl wieder Intel ist bei den Lantiq-Chips - da blickt kein Mensch mehr durch).

Das ist ja auch nur ein Buffer-Overflow als Demo im CVE-Advisory (da wird nur ein Absturz gezeigt, kein "Eindringen") - zwar könnte den tatsächlich jemand benutzt haben, um da einen passenden funktionsfähigen Exploit daraus zu entwickeln, aber auch dann betrifft das nur die VR9-basierten Modelle (bei dieser CVE-Nummer) und da gehören weder die 7390, noch die 7270V-irgendwas oder gar die Puma5/6-basierten DOCSIS-Boxen dazu.

Der andere von RedTeam zum selben Zeitpunkt veröffentlichte Bug bezieht sich auf ein absichtlich falsch aufgebautes Update-Image ... das kann allerdings ein Provider tatsächlich ausnutzen, wenn er die Firmware beim Kunden aktualisieren darf und wenn es ihm gelingt, die Signaturprüfung dabei zu umgehen.

Das ist dann wirklich erst ab 06.50 (bei der 7490 erst an 06.51) nicht einmal mehr aus dem LAN per GUI erlaubt ... aber die Warnung von AVM bezieht sich ja deutlich auf die Geräte, die eine Version vor 06.50 einsetzen. Der in #10 verlinkte Bug sollte es jedenfalls nicht sein, der die Modelle mit älterer Firmware (und älterer Hardware - eben vor dem VR9) da einer erhöhten Gefahr aussetzt.

EDIT: Wobei der zweite Bug in der damals gezeigten Form (über das Umbiegen des CSS-Verzeichnisses des Webservers und das Ausführen eines CGI anstelle einer einfachen Auslieferung einer Datei) auch nur dann funktionieren würde, wenn da ein Browser auf der Client-Seite anschließend noch eine solche CSS-Datei laden will ... das ist bei einem Firmware-Update über Fernwirkungsschnittstellen (wie TR-069/TR-064) eher nicht der Fall, solange man das nicht auch noch selbst auslösen kann, wofür aber schon wieder der Aufruf der Login-Seite (noch vor der Anmeldung) ausreichen würde.
 
Zuletzt bearbeitet:
Zuletzt bearbeitet:
Moins

Wenn AVM schreibt...
AVM schrieb:
Bezüglich der FRITZ!Box ist dies nach aktuellem Stand nur mit selten genutzten Konfigurationen in Verbindung mit älteren FRITZ!OS-Versionen möglich.
...sollen vorallem die Benutzer die Füße still halten, die sich anmaßen die zur Verfügung stehenden Optionen einer Fritz!Box zu nutzen?

Und die Info soll kolportieren, dass eine Box nach der Ersteinrichtung, durch wen auch immer, nicht davon betroffen ist?
Der Betreffende Benutzer demnach mal wieder selbst schuld ist?
...und Niemand anderes?

War das jetzt auch eine Spekulation?

F: Kann ich davon ausgehen, dass meine Box nicht davon betroffen ist?
A: Kommt auf die Konfiguration an.

Toll, ich bin beunruhigt, zumal ich ein Fan von Individualisierung, also "exotischen" Konfigurationen bin.

Die BlackHats kommunizieren die Sicherheitslücken um sie nutzen zu können.
...da bin ich mir sicher.
 
Ja, die Leute von n-tv.de, die schreiben dann gleich richtigen Mist, den sie durch nichts belegen.

Der dort mit den Worten
n-tv.de schrieb:
Möglicherweise dreht es sich bei der aktuellen Warnung um eine in diesem Januar bekannt gewordene Schwachstelle, die Angreifern ebenfalls theoretisch ermöglichte, auf Kosten der Nutzer teure Telefonate zu führen. AVM hat die Lücke zwar durch Updates umgehend geschlossen, aber wahrscheinlich gibt es noch einige Berliner Router, auf denen noch alte Software installiert ist.
verlinkte Beitrag aus dem Januar ist im Prinzip das Zusammenwürfeln von unterschiedlichsten technischen Einzelheiten früherer Lücken zu einer einheitlichen Sauce.

Klar, man kann mit dieser Schwachstelle (das ist genau der Buffer-Overflow, der auch in #10 thematisiert ist) nach dem Bau eines passenden Exploits (was auch wieder nicht trivial ist) tatsächlich irgendwann zu der Fähigkeit kommen, eigene Kommandos in der Firmware auszuführen ... aber auch nur aus dem LAN (über CSRF mit SOAP-Requests wäre der offene Port erreichbar), aber dann steht dem Angreifer die gesamte FRITZ!Box zur Verfügung und das ist dann im Ergebnis schon etwas mehr, als "auf Kosten der Nutzer teure Telefonate zu führen".

Dann hat so ein Angreifer nämlich auch die kompletten Daten der in der FRITZ!Box eingetragenen Benutzerkonten (inkl. Push-Mail), wenn er das nur will ... und jetzt möchte ich nicht wissen, bei wievielen Nutzern in der FRITZ!Box auch ein Benutzerkonto mit dem Windows-Benutzernamen und demselben Kennwort konfiguriert ist (einfach weil es so schön bequem ist, wenn man das beim Zugriff auf den NAS der FRITZ!Box nicht noch einmal eingeben muß, weil Windows den angemeldeten Benutzer erst einmal automatisch ausprobiert), wie auf dem eigenen Windows-PC und dann kann ein Angreifer mit diesen Credentials (und einem passenden Relay im LAN, denn SMB wird an einer FRITZ!Box normalerweise ins WAN geblockt) auch versuchen, auf die Dollar-Freigaben der Laufwerke eines Windows-Systems zuzugreifen und dort (je nach Rechten des erbeuteten Kontos) entsprechend wüten ... im schlechtesten Falle bis zur Installation von Ransomware.

Hier ist als der Aspekt des Telefonierens auf fremde Kosten eher noch der harmlose Angriff ... deshalb regt mich dieser Absatz in der n-tv.de-Meldung so auf. Entweder der Schreiber hat das Prinzip der Lücke aus dem Januar nicht begriffen oder er denkt (wenn er wirklich den erfolgreichen Angriff über den Buffer-Overflow annehmen sollte) nur bis zum Bildschirm vor der Nase bei den Konsequenzen und dann legt dieser Text beim Leser wieder die Reaktion nahe: "Auslandstelefonate habe ich beim Provider gesperrt, also kann mir ja nichts passieren." - schließlich steht da nur etwas von "Telefonieren".
 
Hoffentlich ist es nicht das:

Warum soll es diese Schwachstelle hoffentlich nicht sein? Ich denke zumindest anders, hoffentlich ist sie das, dann wüsste man wenigstens woran man ist bzw. weiß welche Modelle und Firmwareversionen davon betroffen sind und welche nicht. Aber vermutlich ist meine Hoffnung wohl umsonst...
 
Ich habe gestern mit AVM telefoniert um herauszufinden, ob die 7390 mit FW 6.30 sowie die 7270 mit FW 6.05 betroffen sind. Ich habe bisher noch nicht auf 6.50/6.51 upgegradet, da die neue Oberfläche noch mit zu vielen funktionalen Bugs einhergeht (instabiles WLAN etc)...

Antwort:
7390 mit FW 6.30 ist von der genannten Lücke NICHT betroffen.
7270 mit FW 6.05 ist von der genannten Lücke NICHT betroffen.

Grüße, MGT

Das wird dann wohl für das 7320 auch gelten. Trotzdem bleibt man im Dunkeln welche OSen/Boxen jetzt betroffen sind. Erinnert mich an diese "alte" Lücke... Warum jetzt wieder eine Meldung?
 
Ja, wie viele hättest du den noch gerne? ;)
 
... - mit dem lästen WLAN-Bug der 6.5x kann und will ich sie nur nicht benutzen.

In diesem Zusammenhang wäre es doch für Dich positiv, wenn es sich um die bekannte und 1,5 Jahre alte Sicherheitslücke handeln würde, denn dann wären 1. nur die AR9-, AR10- und VR9-Modelle betroffen und 2. ist diese Lücke mit Ver. 6.30 bereits gestopft worden und (fast) nichts spräche gegen ihren Einsatz, von daher ist deine Äußerung aus #10 noch weniger verständlich... ;)

Zum 1. Teil deines Beitrages stimme ich dir durchaus zu, eigentlich kann man mit dieser Meldung bis jetzt wenig anfangen, bis jetzt also alles nur wenig hilfreiche Spekulationen...
 
Da fällt mir noch was ein. :mrgreen:
Heute hat mich myfritz.net wegen "verdächtigen Loginversuchen" dauerhaft ausgesperrt.
(Muss jetzt Passwort vergessen benutzen)
...nur weil ich irgendwas falsch angeklickt hab (Captcha), oder Capslock an, was weiss ich.
Sind schon wieder EMailaccounts geklaut worden, von denen wir noch nichts wissen?
 
Heute morgen hatte ich einen Rückruf von Unitymedia (Business): Dort ist keine interne Kommunikation bekannt, dass die Fritz!Box 6360 cable von der aktuellen Sicherheitswarnung von AVM betroffen sei; man werde sich aber rückversichern und mir dann noch einmal Bescheid geben.
 
Moins


Das hört sich ja wirklich nach "selten genutzter Konfiguration" an. :lach:

Demnach ist Callthrough mit PIN und erlaubten Nummern sicherer als eine Fritz!Box als SIP-Server.
:rolleyes:
 

Statistik des Forums

Themen
246,195
Beiträge
2,247,819
Mitglieder
373,748
Neuestes Mitglied
fanti88
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.