[Problem] Anti-KRACK-Firmwareupdates für weitere AVM-Produkte

grundigboy

Aktives Mitglied
Mitglied seit
31 Aug 2006
Beiträge
835
Punkte für Reaktionen
28
Punkte
28
Hallo Frizzer,

AVM hat aus seiner Sicht wohl für "alle" betroffenen Produkte entsprechende Firmwareupdates ausgerollt, welche die KRACK-Lücke schliessen. Aus meiner Sicht sind aber noch lange nicht alle aktuellen Geräte gefixt. Die aktuellen Router seien nicht betroffen,...solange man diese nicht im drahtlosen Repeatermodus betreibt. Accesspointmodus via LAN ist wohl nicht betroffen. Daher bräuchte man

- Firmwareupdates für die noch immer aktuellen Router 4020, 4040
- Firmwareupdates für 74x0 (7490 hat es noch bekommen)
- Firmwareupdates für 7412
- Firmwareupdates für 3272 und 7272
- schön wäre auch für 7362 und ein Fix für 7312, 7330, 7390

AVM bewirbt seine Podukte mit Firmwareupdates über fünf Jahre. Dass für den Repeater NG nichts mehr kommt, kann ich noch verstehen, wenn auch schade. Aber dass man den 300E auf das Abstellgleis schiebt, ist schon traurig. Der war mal sehr teuer und ich habe von diesem Gerät sehr viele bei meinen Bekannten und in der Familie verbaut. Soll ich denen jetzt erzählen, dass diese Geräte Elektronikschrott sind? Wir sprechen immerhin von mehrenren 100 EUR. Oder kann man diese Geräte auch weiterhin betreiben?!

Unabhängig von AVM ist KRACK eine willkommenes Wirtschaftsprogramm für sämtliche Router- und Netzwerkhersteller. Man kann sich unbehelligt dem Support von alter und weniger alter Hardware entledigen. Gleichzeitig ist der Kunde angehalten Neugeräte zu kaufen (Hände reib), weil sonst sein Netzwerk nicht mehr vor dem Zugriff Fremder geschützt ist. Schließlich melden auch alle Hersteller fleißig die betroffenen Geräte (fixen aber nicht...), damit der Kunde weiß, ob er neu kaufen darf. So weit kann es also mit der Nachhaltigkeit nicht her sein, wenn man nun Millionen von Funkkomponenten in den Elektronikschrott kippt.

Ich wünsche Euch ein schönes Wochenende.

Ein nachdenklicher Verbraucher
 
AVM bewirbt seine Podukte mit Firmwareupdates über fünf Jahre.
War hier nicht die Hardware-Garantie gemeint?

Wobei das auch nicht für alle AVM-Hardware zutrifft, zB 7412 > 2 Jahre Werksgarantie.
 
Zuletzt bearbeitet:
Ein 300E der noch innerhalb der Herstellerarantie ist würde ich bei AVM mal als defekt reklamieren sollte der nicht noch ein Update bekommen.

Die anderen genannten Router sind noch recht aktuell ich würde stark davon ausgehen dass alle noch in den nächsten Wochen Updates auf Fritz OS 6.92 oder höher bekommen.
 
Die AVM-Garantie bezieht sich nur auf die Hardware.

Das Produktsicherheitsgesetz & Produktsicherheitsgesetzesverordnungen greifen hier möglicherweise wegen der KRACK-Lücke.
 
Zuletzt bearbeitet:
Und laut PeterPawn sind die Boxen wohl tatsächlich nicht betroffen, da die von AVM verwendete WPA_supplicant so alt ist, dass sie noch nicht betroffen ist. Ist zumindest das, was ich dazu zuletzt gelesen habe.
 
Das gilt nur für die Verwendung des "null keys" ... die Schwäche durch die Wiederholung von Messages (das ist das eigentliche Problem bei KRACK) betrifft auch die anderen Boxen als Client - nur die besonders schwere Lücke (für Linux und Android 6 extra im Paper der Belgier erwähnt) tritt erst ab Version 2.4 von "wpa_supplicant" auf.
 
  • Like
Reaktionen: morenoralfo
Ich habe heute zwei Repeater 310B von 143.06.90 auf 143.06.92 gebracht und seitdem nur noch Ärger mit dem WLAN. Basis ist eine 7412 mit 06.83, mit der (Repeater stromlos) geht's.
Die 06.90 habe ich zwar noch, die lässt sich aber nicht über die 06.92 drüberflashen (ging das nicht früher bei den Fritzen?) und eine Recovery gibt es nicht. Was tun?
 
Downgrade geht bei den Fritzen auch, aber nur unter Verlust aller Konfigurationen (Werksreset). Eventuell lassen sich die Repeater nur per LAN downgraden.
AVM's Recovery-Tools funktionieren definitiv nur per LAN-Anbindung. Reine WLAN-Repeater fallen da aus.
 
Das ganze KRAK Szenario ist unrealistisch und entbehrt jeglicher Logik. Das ist reine Panikmache.
 
(1) Der 310 hat keine LAN-Buchse.
(2) Ohne Kommentar.
(3) Ich suche weiter (v.a. nach einem alternativen AP)
 
Da mein Wlan maximal bis zu einem Nachbarhaus reicht wo ein älterer Herr ohne Internet und ohne Smartphone wohnt bin ich eher nicht betroffen. Wer unberechtigt auf meinem Grundstück rumläuft hat ganz sicher andere Absichten als mein Wlan zu knacken, zumal er dann auch einfach das außen am Haus verlegte LAN-Kabel zur Gästewohnung anzapfen könnte, wo ihm mein Router dann freundlicherweise auch noch eine IP zuweisen würde.
Für normale Leute ohne kriminelle und IT-mäßig bewanderte Nachbarn besteht wohl eher keine Gefahr. Ich glaube auch nicht dass es für Fernseher, Internetradio, Netzwerkdrucker und Wlan-Kamera jemals Updates geben wird. Meine 7360 ist von AVM auch noch nicht abgekündigt hat aber bisher auch noch kein Update bekommen.
 
Ich stimme Dir, was Gefahren angeht, nur bedingt zu - manche Leute verschaffen sich auch nur deshalb Zugang zu fremder Leute WLAN's, weil sie irgendwo gelesen haben, wie's geht und sie es ausprobieren wollen.
Sicherlich ist das "auf dem Land" bei dünner Besiedelung unwahrscheinlicher als in einer Stadt, wo auf ein Haus 5 oder 6 WLAN-Netze unterschiedlicher Provider, aber mit nur wenig Routerherstellern kommen.

Da macht sich dann eine Lücke, die durch's ganze Produktportfolio geht, durchaus gravierend aus - die Sicherheit eines WLAN-Netzes steht und fällt mit der schwächsten Komponente.
Gerade Repeater von Discountern mit unklarer oder gar nicht vorhandener Herstellerangabe (= Import von Ladenhütern zu Ramschpreisen) machen dann Updates schwierig, schon weil man gar nicht weiß, wo man suchen soll. Selbst wenn man den Hersteller findet, ist das letzte Update (wenn's mal eins gab) auch schon Jahre her.
 
Das Problem mit eigenen Ersetzungen für hostapd/wpa_supplicant ist es, daß AVM da in den Quellen "herumgespielt" hat und es die Quellen für diese Änderungen natürlich nicht im OSS-Paket gibt, denn das entsprechende Paket von http://w1.fi steht unter BSD-Lizenz und die verpflichtet nicht zur Herausgabe von geänderten Quellen. In der Folge kann man die AVM-Komponenten "/sbin/hostapd" und "/sbin/wpa_supplicant" nicht ohne weiteres gegen eigene, neuere Versionen austauschen.

Jedenfalls verwendet AVM offenbar als Basis auch diese Software, denn in der "license.txt" steht ausdrücklich auch:
Code:
Dieses Produkt enthält Software entwickelt vom hostapd Project
© 2002-2007, Jouni Malinen <[email protected]> and contributors
All Rights Reserved.
Was mich daran aber am meisten irritiert, ist die Feststellung, daß AVM beim 310B in der Version 143.06.92 noch genauso Binaries einsetzt, die ihrerseits die Versionskennzeichnung "2.0-devel" enthalten:
Code:
# strings sbin/{hostapd,wpa_supplicant} | grep "2\..\(-devel\)"
hostapd v2.0-devel
2.0-devel
2.0-devel
wpa_supplicant v2.0-devel
, wie das schon seit Jahren der Fall ist.

Angesichts des doch erheblichen Alters dieser Version und der vom (originalen) Autoren nur für 2.5- und 2.6-basierte Versionen veröffentlichten Patches (siehe http://w1.fi/security/2017-1/wpa-packet-number-reuse-with-replayed-messages.txt) stellt sich mir die Frage, ob AVM die tatsächlich alle auf die alte Version zurückportiert hat oder ob die "Versionsangabe" in den Binaries schlicht falsch ist, weil AVM zwar alles mögliche patcht, nur diese Versionsangabe nicht.

Andererseits ist z.B. im 1260E, der zeitgleich mit dem 1750E aktualisiert wurde auf 06.92 (https://avm.de/aktuelles/kurz-notie...-repeater-und-wlanpowerline-produkte-von-avm/) wieder die Version "2.5-devel" enthalten.

Aber egal, welche der beiden Versionen man jetzt auch betrachtet (gilt auch für DVB-C und 310-B) ... entweder AVM hat da ganz eigene Patches entwickelt (was ohne Review auch wieder recht unklug wäre, allzu schnell hat sich da ein Fehler beim "Umschreiben" eingeschlichen) oder irgendetwas ist doch faul im Staate Dänemark.

Das geht schon damit los, daß in der Version des "hostapd" für die Repeater und auch für die exemplarisch von mir geprüfte 06.90 für die 7490 nun offenbar doch 802.11r aktiviert wurde beim Build, wenn man sich die folgenden Zeilen (schon in der Version 2.0) mal genauer anschaut:
Code:
int wpa_auth_sta_associated(struct wpa_authenticator *wpa_auth,
               struct wpa_state_machine *sm)
{
   if (wpa_auth == NULL || !wpa_auth->conf.wpa || sm == NULL)
       return -1;

#ifdef CONFIG_IEEE80211R
   if (sm->ft_completed) {
       wpa_auth_logger(wpa_auth, sm->addr, LOGGER_DEBUG,
               "FT authentication already completed - do not "
               "start 4-way handshake");
       return 0;
   }
#endif /* CONFIG_IEEE80211R */

   if (sm->started) {
       os_memset(&sm->key_replay, 0, sizeof(sm->key_replay));
       sm->ReAuthenticationRequest = TRUE;
       return wpa_sm_step(sm);
   }

   wpa_auth_logger(wpa_auth, sm->addr, LOGGER_DEBUG,
           "start authentication");
   sm->started = 1;

   sm->Init = TRUE;
   if (wpa_sm_step(sm) == 1)
       return 1; /* should not really happen */
   sm->Init = FALSE;
   sm->AuthenticationRequest = TRUE;
   return wpa_sm_step(sm);
}
Die Nachricht "FT authentication already completed - do not start 4-way handshake" ist nämlich hier sehr wohl jeweils im Binary enthalten:
Code:
$ strings sbin/hostapd | grep "FT auth"
FT authentication already completed - do not start 4-way handshake
Zwar hat AVM nur davon geschrieben, daß die FRITZ!Boxen am Breitbandanschluß sicher sind (in https://avm.de/aktuelles/kurz-notiert/2017/wpa2-luecke-fritzbox-am-breitbandanschluss-ist-sicher/):
Eine FRITZ!Box am Breitbandanschluss ist nach aktuellem Stand nicht von der "Krack" genannten WLAN-Sicherheitslücke betroffen, da sie als Access Point die betroffene Norm 802.11r nicht verwendet.
und es ist ja auch tatsächlich nicht gesagt, daß AVM hier FT nach 802.11r tatsächlich verwendet (das sind die "fast BSS transitions" zum schnellen Wechsel des AP) - aber (wie formuliert man das jetzt am besten?) es erscheint nicht unwahrscheinlich, daß AVM den "hostapd" zumindest jeweils mit "CONFIG_IEEE802111R" übersetzt. Damit könnte man es zumindest verwenden, ohne erst noch eine neue Firmware ausliefern zu müssen.

Spannend ist auch noch die folgende Stelle in "hostapd" (ebenfalls noch in "src/ap/wpa_auth.c"):
Code:
SM_STATE(WPA_PTK, AUTHENTICATION2)
{
   SM_ENTRY_MA(WPA_PTK, AUTHENTICATION2, wpa_ptk);

   wpa_group_ensure_init(sm->wpa_auth, sm->group);

   /*
     * Definition of ANonce selection in IEEE Std 802.11i-2004 is somewhat
     * ambiguous. The Authenticator state machine uses a counter that is
     * incremented by one for each 4-way handshake. However, the security
     * analysis of 4-way handshake points out that unpredictable nonces
     * help in preventing precomputation attacks. Instead of the state
     * machine definition, use an unpredictable nonce value here to provide
     * stronger protection against potential precomputation attacks.
     */
   if (random_get_bytes(sm->ANonce, WPA_NONCE_LEN)) {
       wpa_printf(MSG_ERROR, "WPA: Failed to get random data for "
              "ANonce.");
       wpa_sta_disconnect(sm->wpa_auth, sm->addr);
       return;
   }
   wpa_hexdump(MSG_DEBUG, "WPA: Assign ANonce", sm->ANonce,
           WPA_NONCE_LEN);
   sm->ReAuthenticationRequest = FALSE;
   /* IEEE 802.11i does not clear TimeoutCtr here, but this is more
     * logical place than INITIALIZE since AUTHENTICATION2 can be
     * re-entered on ReAuthenticationRequest without going through
     * INITIALIZE. */
   sm->TimeoutCtr = 0;
}
Hier soll ja für den Fall, daß es nicht genug "Zufall" gibt, die Fehlernachricht "WPA: Failed to get random data for ANonce." ausgegeben werden. Diese findet sich aber im ganzen Binary nicht (genauer, es gibt gar keine (EDIT: passende) Fehlernachricht mit "random" im Text) und nun kann man ja mal raten, was AVM hier wohl gemacht haben wird.

Spannend wird das dann wieder dadurch, daß an dieser Stelle ein weiteres Problem ansetzt (die mehrmalige Verwendung eines "ANonce"-Wertes), gegen das auch durchaus ein Patch existiert: http://w1.fi/security/2017-1/0005-Fix-PTK-rekeying-to-generate-a-new-ANonce.patch - aber auch die von diesem Patch nochmals "eingeführte" Fehlermeldung findet sich im "hostapd" von AVM nicht.

Auch eine andere Meldung, die normalerweise vorhanden sein sollte ("Not enough entropy in random pool" aus "wpa_group_init()") im "hostapd", legt die Vermutung nahe, daß AVM hier irgendetwas "Eigenes" veranstaltet und man kann/darf nur hoffen, daß AVM hier irgendwie tatsächlich sicherstellt, daß die mit diesen Meldungen normalerweise ausgewiesenen Fehlerbedingungen gar nicht erst auftreten. Ich bin allerdings nicht allzu optimistisch ... Entropy "zu sammeln" ist auf diesen Geräten ja immer ein besonderes Thema. Hoffentlich hat da nicht nur jemand kurzerhand den Test und die Fehlermeldungen beim Scheitern deaktiviert, weil das "nicht gut aussah".

Jedenfalls setzt auch hier ja eine mögliche Replay-Attacke an und das wäre auch die einzige Stelle gewesen, wo man beim 1:1-Anwenden der Patches erwarten müßte, daß eine entsprechende Fehlermeldung im Binary landet.

Die anderen Patches enthalten zwar auch noch einige zusätzliche Nachrichten, die könnten aber mit passenden Einstellungen bei der Übersetzung ausgeblendet werden - mit einer Ausnahme und das wäre die Nachricht "WPA: Invalid IGTK KeyID %d".

Allerdings landet die nur im Binary (EDIT: in diesem Falle in "wpa_supplicant"), wenn man 802.11w (das ist der Schutz der "management frames", der dann wieder verhindert, daß einfach Clients von anderen vom AP abgemeldet werden - "deauthentication attack") bei der Übersetzung aktiviert hat (über CONFIG_IEEE80211W).

Das scheint aber nur für die Version 2.5-devel bei AVM der Fall zu sein ... es ist schon alles etwas "undurchsichtig", wenn man da versucht mal durchzusteigen.

Jedenfalls kann man (bzw. ich) die Idee wohl vergessen, einfach den "hostapd" und "wpa_supplicant" für einen 300E auszutauschen gegen Dateien, die aus den "vanilla sources" erstellt wurden - da hat AVM kräftig drin geändert, wobei es bei der 2.5-devel deutlich weniger Stellen gibt, wo "AVM" (egal in welcher Schreibweise, groß/klein/mixed) zu finden wäre.

Vielleicht will AVM ja deutlich näher an die originalen Quellen heranrücken und wirklich nur noch das Logging nach eigenen Vorstellungen umsetzen (das sieht bei der 2.5-devel ein wenig danach aus).
 
Zuletzt bearbeitet:
  • Like
Reaktionen: qwertz.asdfgh
Hallo Peter,

Wahnsinn, wie Du da einsteigst. Aber Deinen Formulierungen ist zu entnehmen, dass man sich selbst überlegen kann, ob man alte (AVM)-Funkhardware, die kein Update mehr bekommt, weiterhin verwenden will. AVM zumindest läßt ja nicht wirklich viel zur KRACK-Thematik heraus. Ist aber auch verständlich, weil sie ihre proprietären Teile schützen und den versierten KRACKern nicht noch zusätzlich unter die Arme greifen wollen. Zumindest zur Verwendung der Boxen als Repeater sollten sie sich nochmal äußern. Und auch mal zeitnah Updates für die aktuellen Router (4020. 4040 ect.) ausrollen, da die sehr wohl als Repeater, WLAN-IP-Client etc. verwendet werden.

D. h. wo notwendig, alte FHW außer Betrieb setzen, updaten, wo verfügbar, und ansonsten warten und nur ausgewiesen KRACK-abgedichtete Hardware kaufen.

Schönen Sonntag!

Thomas
 
Ich habe da mal eine Verständnisfrage: Wenn ein einziges Gerät in meinem Wlan (z.B. mein Wlan-Radio) nicht gepatcht ist, bin ich angreifbar, egal was AVM tut. Richtig?
 
Ja.
Dann müssen die Geheimdienste nur ein Technikfahrzeug mehr vor deinen physikalischen Standort fahren.

Zum Trost: Selbst wenn du komplett KRACK-gepatchte Geräte verwendest, bist du angreifbar.
Das war garantiert nicht die letzte Sicherheitslücke ;)
 
Wenn ein Gerät nicht gepatcht ist, ist auch nur dieses Gerät angreifbar per Man-in-the-middle. Dabei setzt sich der Angreifer aber nicht zwischen deinen Router/LAN und dieses Gerät, sondern zwischen das Gerät und dem Internet. Der Angreifer spannt einen neuen AP auf, hijacked die Verbindung und stellt dir eigenes Internet zur Verfügung. Dabei kann er dann alles mitlesen, was auch immer du so im Internet normalerweise treibst, es sei den du verwendest HTTPS oder andere Ende-zu-Ende Verschlüsselung. Dein LAN wird für das Gerät in dieser Situation nicht mehr sichtbar/erreichbar sein. Das trifft IMHO auch zu, wenn das betroffene Gerät ein Repeater ist. Allerdings kannst du dann aber auch Geräte am Repeater einfangen, die eigentlich nicht (mehr) betroffen sind, da du ja den Backbone Link des Repeaters kompromittiert hast.

Nach meinem Verständnis haben aber alle Szenarien gemeinsam, dass sie dem Angreifer keinen Zugang zu deinem Heimnetzwerk/LAN verschaffen.
 
Genau das wollte ich wissen. Wenn das stimmt so ist mir das egal, ich hoste vertrauliche Daten weder weder im Fernseher noch im Internetradio. Und wenn sich jemand mit der Wlan-Kamera selbst anschauen möchte soll mir das auch Recht sein, alternativ kann er das Ding auch gleich mitnehmen.
Irgendwie glaube ich nur nicht ganz daran dass es so einfach ist. Der Angreifer kommt doch in den Besitz des Wlan-Schlüssels und kann sich damit dann am AP anmelden, oder?
 
Der Angreifer kommt doch in den Besitz des Wlan-Schlüssels und kann sich damit dann am AP anmelden, oder?
Beim KRACK ist es völlig ausgeschlossen und der 4-Wege-Handshake vom WPA2-personal mit Pre-Shared Keys stellt sicher, dass zu keiner Zeit der WLAN-Schlüssel im Klartext ausgelesen werden kann. Allerdings kann der (erfolgreiche) Handshake aufgezeichnet und der Mitschnitt einer Wörterbuch-/BruteForce-Attacke unterzogen werden, womit sich sehr kurze und/oder einfache Schlüssel von selbst verbieten sollten.
 
Problem vorerst gelöst.
(Have you tried to switch everything off and on again?)
Repeater aus den Steckdosen gezogen, Fritz!Box neu gestartet, Repeater wieder eingesteckt und Taste solange gedrückt, bis alle LEDs wild durcheinander oder gar nicht mehr geblinkt haben (muss so 15-20 Sekunden gewesen sein), danach wieder per WPS angemeldet.
Auto-Update ist erst mal wieder aus.
 
Zuletzt bearbeitet:

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,356
Beiträge
2,250,754
Mitglieder
374,009
Neuestes Mitglied
HansRosenthal
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.