[Info] Sicherheitslücke in FRITZ!OS Ver. 6.2x bis 7.5x [WID-SEC-2023-2262] - 04.09.2023

[NDiIPP]

Keine Ahnung, das müsste man erst einmal untersuchen. Insb. was AVM bzgl. FragAttack damals gepatcht hatte (WiFi-Firmware (könnte man bei unveränderter Kernel-Version, was ich gerade auch nicht weiß, vom 1750E nehmen), wpa_supplicant und/oder hostapd usw…

 

[Exodus88]

Außerdem habe ich zu fast jeder erdenklichen Uhrzeit einen Zugriff von mir Zuhause auf unsere Hofstelle.
Die angezeigte IP (unkenntlich gemacht) ist tatsächlich von der 6690.

Dieses Rätsel konnte ich auch lösen...



Der "stündliche" Zugriff erfolgte von mir Zuhause auf unsere Hofstelle.
Auslöser war die App auf meinem Smartphone - BoxToGo Pro. Da hatte ich die Einstellung für die Aktualisierung der Anrufliste dieser Box auf stündlich gesetzt.
Vermutlich war ich bei der Initialisierung besoffen, keine Ahnung
Seitdem ich die Einstellung auf nie bzw. manuell gesetzt habe, sind die Zugriffe vorbei.

Gruß

Roland

PS. Sorry für OT. Wollte das nur erwähnen, da es mir im Zusammenhang mit dem Sicherheitsupdate erst aufgefallen ist und hier, in diesem Thread, erwähnt wurde.

 

[SaschaBr]

Was meinst Du @NDiIPP ist es möglich die inhouse 7.08 des DVB-C Repeater mit der FragAttack sowie dem aktuellen Problem zu Patch? …

Möglich ist das bestimmt, ob sich der Aufwand lohnt ist fraglich… mir fehlen dafür die Kenntnisse. Für AVM wäre das sicherlich n Klacks, aber das werden die mit Sicherheit nicht machen, leider.

 

[Looper_2023]

[Edit Novize: Gelöschten/zerstörten Beitrag wieder hergestellt - Threadvandalismus wird nicht geduldet]

BSI warnt:
[WID-SEC-2023-2262] AVM FRITZ! Produkte: Schwachstelle ermöglicht nicht spezifizierten Angriff

"Nicht spezifizierter Angriff auf Fritz-Netzwerke"
Das geht aus einer Meldung des Bundesamts für Sicherheit in der Informationstechnik (BSI) hervor. Im Rahmen der aktuellen Sicherheitshinweise des BSI besteht nun auch eine Warnung vor einem "nicht spezifiziertem Angriff" auf FritzBox-Nutzer.

Das BSI schreibt zwar FritzBox, meint aber vermutlich alle Geräte mit FritzOS, denn auch bei WLAN-Repeatern und Powerline-Adaptern wurde die Schwachstelle bereits vom Hersteller bestätigt. Laut dem BSI handelt es sich bei der Sicherheitslücke um eine Schwachstelle, die per Remote-Angriff aus der Ferne ausgenutzt werden kann.

In der AVM-Community geht man bisher davon aus, dass es sich um eine Sicherheitslücke handelt, die Angreifern über den HTTPS-Port 443 Zugriff auf die FritzBox-Benutzeroberfläche gewährte.


Der CVSS Base Score ist mit 7.3 vergleichsweise hoch. Das Common Vulnerability Scoring System (CVSS) ist dabei ein Standard zur Bewertung von IT-Sicherheitslücken und beschreibt mit einem Wert zwischen 0 und 10 den Schweregrad einer Sicherheitslücke. Der CVSS Temporal Score liegt hingegen bei eher moderaten 6.4 (mittel).

 

[KunterBunter]

BSI warnt:

Das war doch schon vor 11 Tagen und nicht erst seit jetzt, wo du dich hier angemeldet hast.

 

[Looper_2023]

[Edit Novize: Gelöschten/zerstörten Beitrag wieder hergestellt - Threadvandalismus wird nicht geduldet]

echt ... habe ich hier nicht gelesenen - sorry

 

[KunterBunter]

Im ersten Beitrag: 4. Zeile

 

[Looper_2023]

[Edit Novize: Gelöschten/zerstörten Beitrag wieder hergestellt - Threadvandalismus wird nicht geduldet]

aber nicht schon vor 11 Tagen

-- Zusammenführung Doppelpost by stoney

was ist mit der 6670 - bekommt die kein Update?

 

[KunterBunter]

Nein, die braucht keins. Da ist diese Lücke noch nicht drin.

 

[Grisu_]

Nein, tatsächlich erst seit genau 11 Tagen gemäß diesbezügl. Meldung in #64 vom 6.9.2023 (heute ist der 17.9.): https://www.ip-phone-forum.de/threa...-6-5x-und-6-3x-04-09-2023.316049/post-2527109

 

[NDiIPP]

[…] nicht schon vor 11 Tagen

Doch, vor 11 Tagen schon.

 

[TeomaHK]

...AVM kennt deine Geräte doch gar nicht. Entweder die Fragen trotz Verbots zyklisch bei AVM nach und installieren als notwendig markierte Updates trotzdem, oder der Provider pusht per TR-069. Sonst fällt mir kein Mechanismus ein.

Halli Hallo Benares,

was ist mit dem Protokoll TR-369? Laut diesem Post ist das Protokoll bei @Exodus88 eingerichtet bzw. erlaubt.

Mit freundlichem Gruß
Teoma

 

[Benares]

Keine Ahnung, was diese TR-irgendwas-Protokolle jeweils genau machen, aber in jedem Fall erlauben sie dem Provider den Zugriff auf deinen Router für eine Konfiguration. Deshalb würde ich sowas nie erlauben. Aber es mag Leute geben, die wollen das so.

 

[tester25]

Gibt es mittlerweile eigentlich weitere Quellen (ggf. auch aus Italien, da war man ja bereits weiter in der möglichen Ursachenforschung)?

Ich kann mir mittlerweile vorstellen, dass ein bestimmtes Framework betroffen ist, dass AVM in seinen Geräten nutzt.

Die Theorie, dass die Benutzeroberfläche für Externe geöffnet war auch bei gegenteiliger Einstellung, wird ja entkräftet durch die Updates von nicht direkt am Netzzugang eingesetzten Geräten wie Repeatern und selbst Powerline.

Es gibt mittlerweile auffällig große Firmware-Updates für Samsung Smartphones. Sogar mein Bosch Geschirrspüler mit WiFi und Home Connect hat soeben (zum ersten mal seit seiner Lebensdauer) ein Firmware-Update von Bosch gepusht bekommen und selbstständig installiert. Meldung: "Für dein Hausgerät wurde ein wichtiges Sicherheitsupdate durchgeführt.").

Klingt für mich in Summe nach etwas Größerem.

 

[Dann halt nicht mehr]

Rund um den einseztenden AVM-Quick-Bugfix wurde auch bei Apple ein neues Update ausgerollt. Möglicherweise haben wir jetzt mal gesehen, wie es ausssieht, wenn eine Zero-Day-Sicherheitslücke ausgenutzt wird.

 

[KunterBunter]

Apple hat den Fix für die CVE-2023-41064 am 11. September (sic!) erhalten. Das BSI hat nicht gewarnt. Möglicherweise bist du nur das Opfer eines übersteigerten Bewusstseins für Zero-Day-Sicherheitslücken geworden.

 

[Dann halt nicht mehr]

Klemm dir mal solche Spitzen, solange die Ursache nicht klar ist. Das BSI ist da kein Kriterium und ob und vor allem wann eine gefixte Zero-Day in der Dokumentation der betroffenen Herstellern auftaucht, ist auch noch nicht klar. (hoffe, ich hab da nicht Ironie überlesen).

 

[Looper_2023]

[Edit Novize: Gelöschten/zerstörten Beitrag wieder hergestellt - Threadvandalismus wird nicht geduldet]

CVE-2023-20269: Zero-Day Vulnerability in Cisco Adaptive Security Appliance and Firepower Threat Defense Reportedly Exploited by Ransomware Groups

Ransomware groups including LockBit and Akira are reportedly exploiting a zero-day vulnerability in Adaptive Security Appliance (ASA) and Firepower Threat Defense (FTD) appliances with VPN functionality enabled.

www.tenable.com

 

[Roboto]

Die Theorie, dass die Benutzeroberfläche für Externe geöffnet war auch bei gegenteiliger Einstellung, wird ja entkräftet durch die Updates von nicht direkt am Netzzugang eingesetzten Geräten wie Repeatern und selbst Powerline.

oder einfach gegen Angriffe von Innen

 

[NDiIPP]

Ich kann mir mittlerweile vorstellen, dass ein bestimmtes Framework betroffen ist, dass AVM in seinen Geräten nutzt.

Die Schwachstelle liegt primär vermutlich beim Webserver von FRITZ!OS und damit sind alle Geräte mit FRITZ!OS betroffen, die ein Webinterface zur Verfügung stellen. Auch wenn dieses nur aus dem "Heimnetz" erreichbar ist. Denn auch ein "Heimnetz" ist im Zweifel nicht als 100% sicher zu betrachten, wie ich schon früher in diesem Thema erwähnt hatte.

---

Rund um den einseztenden AVM-Quick-Bugfix wurde auch bei Apple ein neues Update ausgerollt.

Das hat einen anderen Grund, andere Sicherheitslücke (unabhängig von FRITZ!OS):
https://heise.de/-9298564

Dementsprechend bitte die Updates zu Smartphones/Tablets usw. in anderen/eigenen Themen diskutieren, nicht hier!