[Info] Sicherheitslücke in FRITZ!OS Ver. 6.2x bis 7.5x [WID-SEC-2023-2262] - 04.09.2023

Es gibt mittlerweile auffällig große Firmware-Updates für Samsung Smartphones.
Schon wieder diese wilde Theorie. Die September-Updates kann ich anhand von S22 und S23 beurteilen und sie sind größenmäßig im normalen Rahmen von ganz grob 300 MB.
 
Ist eigentlich bekannt, dass AVM aktiv mit einer ihnen zugehörigen IP an der Eingabemaske für Namen und Passwort vorbei auf die Fritzboxen zugreift, und dabei einen (meinen Boxen) unbekannten Namen nutzt? Dies sind die beiden Zugriffe, die am 18.9. bei mir erfolgten:
7590:
1695283269771.png
6690:
1695283330697.png
die Adresse stammt von hier:
1695283436770.png
Umso länger ich mir diese Begebenheiten vor Augen halte, desto mehr wächst in mir die Vermutung, dass eine uralte Backdoor 'aufgeflogen' ist und nun entweder durch eine neue, oder ein geändertes Verfahren ersetzt werden musste. Dass MyFritz dabei eine maßgebliche Rolle spielen könnte, dürfte bei der Frage der eigenen IP und des genutzten Ports für https:// einleuchten.

Ich bin sicherlich kein Verschwörungstheoretiker und stehe mit beiden Beinen fest auf dem Boden. Am liebsten wäre es mir, man könnte mich von der Falschheit obiger Annahmen argumentativ überzeugen.

Gruß, Jürgen
 
  • Like
Reaktionen: Grisu_
Definitiv nicht; habe ich alles deaktiviert; sind auch beide Boxen noch auf 7.29
 
  • Like
Reaktionen: 3949354
Zitat: "Das ist eigentlich ein interner Dienst. AVM nutzt Global Protect für das Mitarbeiter-VPN."
 
  • Like
Reaktionen: 3949354
Hallo Jürgen,

kann es sein, dass du auf den besagten Boxen die MyFritz Direktverbindung aktiviert hast oder mal hattest?

ouguog9zugouh#üpjüjo.jpg

Wobei ich mir auch nicht sicher bin, ob das mit der 7.29 schon funktionierte!?!

Ich habe gerade bei 4 aktiven Netzen an unterschiedlichen Standorten nachgesehen... 7590 ax, 6690, 7520 und 7590 - alles Masterboxen bzw. Gateway´s

Auf keinen dieser Boxen fand ich unter "System" so einen Eintrag wie von dir. Lediglich die Fernzugriffe waren zu sehen...

tktzktwrjtehw.jpg

Gruß

Roland
 
Nein, Roland,
ich habe alle Fernzugriffe wie TR069 und TR369 disabled. Es fällt ja auch auf, dass die Hackversuche alle mit der Meldung: "Name oder Passwort falsch" abbrechen, der obige von AVM jedoch als APP fungiert, die an den Einlogdaten vorbeigeht. Und meinen genutzten https://-Port kann nur AVM kennen - habe ich vor kurzem erst geändert
 
Hallo Jürgen,

könnte das vielleicht auf einen Versuch seitens AVM hindeuten, dass sie deine Boxen auf 7.57 zwangsupdaten wollen, aber durch das Abschalten von TR069 und /oder TR369 nicht funktioniert?

Du könntest das überprüfen, wenn du einer deiner Boxen auf 7.57 hochziehst und schaust, ob die Meldungen nach einem gewissen Zeitraum ausbleiben, nachdem die 7.57 unter myfritz.net angezeigt wird.

Du kannst ja anschließend durch Umschalten der Partition wieder auf 7.29 zurück. Ist zwar mit etwas Arbeit verbunden, aber so könntest du das mMn am besten überprüfen. Hier im Forum finden sich mehrere Einträge - einschließlich einer von mir -, dass ein Update auf 7.57 durchgeführt wurde, obwohl die Updatefunktion auf "nur informieren" stand. Evtl. will AVM auf Biegen und Brechen das Update ausführen um die Sicherheitslücke zu schließen.

Gruß

Roland
 
Evtl. will AVM auf Biegen und Brechen das Update ausführen um die Sicherheitslücke zu schließen.
Was ich sogar gut verstehen würde. Wenn ich auch mit der (hier vermuteten) Methode keinesfalls einverstanden bin.
 
FYI: Die aktuelle c‘t von heute beleuchtet die Hintergründe ein wenig.
 
auf einen Versuch seitens AVM hindeuten, dass sie deine Boxen auf 7.57 zwangsupdaten wollen
Moin zusammen,

davon gehe ich, ehrlichgesagt, nicht aus. Der Zugriff seitens AVM erfolgte ja erst, nachdem MyFritz.Net im Web nicht mehr erreichbar war, jedoch mein Versuch, meine eigenen Boxen über MyFritz als DDNS zu erreichen, sehr wohl funktionierte. Ich wollte damit schlicht die Funktionalität als Adressgeber testen, obwohl die Webseite in einer Loop festhing.

Ich glaube auch, dass dies ein einmaliger Vorgang bleiben wird; es wäre hingegen sehr interessant, ob bei einer zugrundeliegenden Firmwareversion 7.57 der Anmeldename (siehe hier) DOCH erkannt worden wäre, was meine Vermutung einer Backdoor (natürlich im positiven Supportsinn) stützen würde. Aus der Vergangenheit ist mir auch bekannt, dass auf eine KabelBox schon einmal von AVM aus der Ferne eine andere (ältere?) Firmware aufgespielt wurde. In dem Zusammenhang spielte die MACB wohl eine wichtige Rolle. Für dei letzten beiden Sätze lege ich meine Hand allerdings nicht ins Feuer, da dies NICHT bei mir selbst stattgefunden hat.

Es fällt auch auf, dass der Zugriff auf meine beiden Boxen, die per IPSEC-VPN verbunden sind, zeitlich nur 13 Sekunden auseinanderliegt, und so schnell habe ich garantiert meine Versuche, MyFritz.Net zu erreichen, nicht starten können. Konsequenterweise habe ich auch die restlichen 3 per VPN verbundenen Boxen (7490, 6591 und 7590) auf verdächtige Einträge untersucht, habe aber keine finden können.

Was ist nun mein Resümee aus dieser Aktion?
  • MyFritz mit seinen vielen Funktionen ist sicherlich eine schöne Sache für den User, hinterlässt in puncto Datenintegrität bei mir aber inzwischen einen zwiespältigen Eindruck
  • schon öfter habe ich mich gefragt, wo der Gegenwert für AVM für die entstehenden Kosten zur Aufrechterhaltung des MyFritz-Dienstes ist
  • Soweit ich weiß, ist es bei anderen Netzwerk-Herstellern durchaus üblich, ein 'Superuser-Passwort' installiert zu haben, mittels dessen ein Fernzugriff möglich wird
  • Mich springt der Gedanke förmlich an, dass eben eines dieser 'Superuser-Passwörter' in Italien geleaked und missbraucht wurde und daher auf allen Geräten so schnell wie möglich ersetzt werden musste, auch bei Repeatern
  • Dass ich bei meinen 5 VPNs (4 davon dauerhaft aktiv, 6850 selten) schon damals bei der Einrichtung auf MyFritz verzichtet habe und stattdessen den GoIp.de-Dienst als Adressgeber nutzte, war primär dem Umstand geschuldet, bei einem Gerätewechsel die gesamten VPNs nicht neu einzurichten zu müssen [Adresse ändert sich bei neuem Gerät].
  • Viele haben auch hier schon bemerkt, dass es so trivial gar nicht ist, die Gesprächigkeit der FritzBox im Hinblick auf Updates einzuschränken. Auch der Geschwindigkeitsmessdienst von AVM namens 'Zack' zeigt auf der rechten Seite unter 'mehr Infos' Details zur verwendeten FritzBox an. Bei mir steht Folgendes:
1695368478105.png
probiert's einfach mal aus; ich vermute stark, bei Euch steht mehr :)

So, genug metaphysische Baumwolle. Ich bin mir bewusst, dass meine geäußerten Vermutungen nicht alle zutreffen werden. Aber was ist, wenn nur eine davon stimmt?

Habt einen schönen Freitag, Jürgen
 
[Edit Novize: Gelöschten/zerstörten Beitrag wieder hergestellt - Threadvandalismus wird nicht geduldet]

bei mir steht alles da

Screenshot 2023-09-22 132532.jpg
 
Zuletzt bearbeitet von einem Moderator:
aus einem Beitrag von mir aus 2021:
"TREFFER: hab ihn gefunden; es sind die Diagnosedaten, die man ein- oder ausschalten kann. Bei mir immer aus"
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.