[Info] Sicherheitslücke in FRITZ!OS Ver. 6.2x bis 7.5x [WID-SEC-2023-2262] - 04.09.2023

[Master SaMMy]

Aber wenn man mal darüber nachdenkt, ist AVM da relativ schnell. So einige andere Herstelle lassen sich da richtig Zeit

 

[Roboto]

@FlyingToaster
Solange nicht alle Updates für alle betroffenen Boxen verfügbar sind + ggf. etwas Zeit zum einspielen sowie für die Provider wird AVM sich sicher nicht genauer äußern.
Wenn man sich mal die älteren Einträge (vor 7.57) auf https://avm.de/service/sicherheitsinfos-zu-updates/ ansieht, stehen dort immer ein paar Details drin.
Als die jeweils gerade aktuell waren stand da wie aktuell bei der 7.57 auch nur "Details werden zu einem späteren Zeitpunkt veröffentlicht" drin.

 

[rst-cologne]

Interessant finde ich auch, dass alle LTE/5G Boxen (68xx) noch kein Update bekommen haben. Bis auf die 6890, die zusätzlich noch ein DSL-Modem hat. Vielleicht kann die Sicherheitslücke über das Mobilfunknetz nicht ausgenutzt werden?

 

[Roboto]

@rst-cologne
ich denke AVM geht gerade je nach Verbreitungsgrad vor. Und vermutlich sind halt noch viel mehr 7390 etc in Betrieb als es jemals LTE Boxen gegeben hat.

 

[rst-cologne]

@Roboto mhhh, sieht mir nicht danach aus. Alles was ein DSL oder Kabel Modem hat, und/oder einen WAN Port, hat den Fix bekommen. Und die Mobilfunkboxen (alle kein WAN Port, richtig?) bisher nicht.

 

[Roboto]

ja ist natürlich möglich, das die nicht betroffen sind, oder es dort schwieriger ist das auszunutzen. Oder das AVM bei diesen Boxen Probleme hat das Fix umzusetzen.
Es gibt viele mögliche Ursachen.
Und "Alles" stimmt nicht, da fehlen noch 3272 / 7272 und vermutlich 4020

 

[alisha]

Interessant finde ich auch, dass alle LTE/5G Boxen (68xx) noch kein Update bekommen haben. Bis auf die 6890, die zusätzlich noch ein DSL-Modem hat. Vielleicht kann die Sicherheitslücke über das Mobilfunknetz nicht ausgenutzt werden?

In der Regel sind die LTE/5G Boxen die kein DSL haben hinter Carrier-grade NAT[1] daher besteht due Sicherheitslücke hier indirekt, weil kein direkter Zugang von aussen möglich ist. Bei der 6890er ist das anders, da ist DSL/WAN die primäre Verbindung mit einer Public IP Adresse die aus dem Netz erreichbar ist und LTE ist auch wieder hinter CGN.

[1] https://de.m.wikipedia.org/wiki/Carrier-grade_NAT

 

[H´Sishi]

7390 mit 6.88 ist drausen

Sa 02 Sep 2023 22∶20∶15 CEST

http://ftp.avm.de/fritzbox/fritzbox-7390/deutschland/fritz.os/FRITZ.Box_Fon_WLAN_7390-06.88.image

http://ftp.avm.de/fritzbox/fritzbox-7390/deutschland/recover/FRITZ.Box_Fon_WLAN_7390.AnnexB.06.88.exe

Ansonsten gibt's die Gesamt-Sammlung unter http://ftp.avm.de/fritzbox/ .

 

[H´Sishi]

Interessant finde ich auch, dass alle LTE/5G Boxen (68xx) noch kein Update bekommen haben. Bis auf die 6890, die zusätzlich noch ein DSL-Modem hat. Vielleicht kann die Sicherheitslücke über das Mobilfunknetz nicht ausgenutzt werden?

Das würde ich nicht direkt unterschreiben. Das CGN betrifft nur IPv4 und die Mobilfunknetze unterstützen inzwischen auch IPv6.
Lediglich manche Provider-gebrandete Hardware hat was gegen "IPv4+IPv6" oder "IPv6 only", weil die Mobilnetz-Einstellungen "kastriert" wurden - ausser APN, Benutzer und Kennwort kann man nichts weiter einstellen.

 

[alisha]

Das würde ich nicht direkt unterschreiben. Das CGN betrifft nur IPv4 und die Mobilfunknetze unterstützen inzwischen auch IPv6.
Lediglich manche Provider-gebrandete Hardware hat was gegen "IPv4+IPv6" oder "IPv6 only", weil die Mobilnetz-Einstellungen "kastriert" wurden - ausser APN, Benutzer und Kennwort kann man nichts weiter einstellen.

Mir ist aktuell kein Mobilfunk Betreiber bekannt der IPv4 CGN und IPv6 Public IP macht, so wie das bei DS-Lite DSL/Cable der Fall ist. Reine/Native IPv6 Verbindung ohne IPv4 bringt nichts da sehr viel immer noch nicht via IPv6 only erreichbar ist. Traditionelle Banken/Credit Institute sind hier ein gutes Beispiel in einer reinen IPv4 Welt ausser NeoBanken die sind innovativ. Behörden sind auch so eine Sache…

 

[thomasschaefer]

Mir ist aktuell kein Mobilfunk Betreiber bekannt der IPv4 CGN und IPv6 Public IP macht, so wie das bei DS-Lite DSL/Cable der Fall ist.

Alle deutschen Mobilfunkbetreiber haben "IPv6 Public IP".
Nur sind die Kunden in der Regel darüber nicht erreichbar (angreifbar), da eine stateful Firewall auf ISP -Seite das verhindert.

 

[Bugs Bunny]

Spricht nicht für Heise das bisher nichts im Ticker steht.
Aber die sind generell oft hinterher..

Bei WinFuture steht in der Überschrift obwohl die doch für clickbait bekannt sind einfach nur "AVM bringt stabilitäts Update", da möchte es sich jemand wohl nicht mit exclusive News von AVM versauen.

 

[Master SaMMy]

Die wollen keine Panik verbreiten! Denn der Schuss kann nach hinten losgehen.

 

[tacitus-nrw]

Da meine 7490 mit Fritz OS 7.56 spontane Anrufe machte ( zu meiner Vorwahl plus irgendwelche zweistelligen Rufnummern, die Gott sei dank ja fehl schlagen und nur im Ereignislog auftauchten, auch zur Nachtzeit und selbst bei zum Test abgemeldeten Dect Telefonen) bin ich zurück auf 7.29, was ja keine Telefonieprobleme hatte. Mit ausgeschaltetem https Zugriff von außen, ist man da definitiv sicher? Auf die Box geht es bei mir nur mittels VPN von außen. (Dualstack Telekom SV-VDSL Anschluss mit gesondertem Modem )

Denke, dass das 7.57, erst mal auf die Schnelle zusammen gedengelt, nur das Securityproblem und nicht das Telefonieproblem löst. Und ich habe keine Lust auf Bastelstunde, da wegen Homeoffice das Internet laufen muss.

 

[oldmen]

Wenn ich das richtig sehe bist du mit dem "spontan Anruf Problem" bisher der einzige.
Da liegt die Vermutung doch sehr nahe, dass die Ursache dafür nicht in der 7.56/7.57 liegt.

Edit:
Bei mir laufen auch zwei 7490 mit 7.57 als Router jeweils an VDSL100 (1x Telekom und 1x 1&1 mit Vorleister Telekom). Keinerlei "Spontananrufe"!

 

[Master SaMMy]

Meine 7490 ist zwar als Client Box im Netzwerk, aber sie macht keine spontan Anruf.

 

[H´Sishi]

Meine 7490 ist "Master" und Router, keine Spontananrufe, weder im Ereignislog ("... fehlgeschlagen") noch im Anruflog. 7.57 hier nun.

 

[tacitus-nrw]

Das mit den Spontananrufen sah so aus: Die Vorwahl ist 02501, dahinter zweistelliger Quatsch als Anrufversuch. Außerdem flappen Geräte im Gastnetz. Wird angezeigt, dann wieder nicht, dann wieder angezeigt, sowohl in der Mesh Ansicht als auch in der Heimnetz Geräteliste. Da die Wärmepumpe eine direkte Verbindung zu Viessmann herstellt, und eh nur über die Vicare App über die Viessmann Cloud erreichbar ist, und sowieso nicht via Browser o.ä. ausm Heimnetz, wollte ich sie gar nicht im Heimnetz haben. Mit 7.29 konnte man Geräte im Gastnetz verwalten, z.B umbenennen. Mit 7.56 bleibt der Vorgang mit einem immer währenden Drehwurm hängen. Gott sei Dank flappt die Verbindung selbst nicht: Die Wärmepumpe hat immer Verbindung zur Viessmann Cloud, ohne jede Unterbrechung. Das ist also ein Gui Bug, kein Bug des Gastnetzes. Bei Geräten im normalen Heimnetz klappt das Umbenennen etc. wie gehabt.

 

[NDiIPP]

Mit ausgeschaltetem https Zugriff von außen, ist man da definitiv sicher?

Unbekannt. Bisher gilt immer noch:


Und ob ggf. schon, wie in anderen Quellen zu lesen, auch eine simple Portfreigabe genügt oder nicht ist bisher wohl auch nicht zweifelsfrei geklärt. Also updaten und abwarten oder (wenn Update nicht möglich weil bspw. für das eigene Modell (noch) nicht verfügbar) sicherheitshalber den Fernzugriff deaktivieren und hoffen, dass das hilft.

Wenn jedoch für das eigene Modell bereits FRITZ!OS 7.57 verfügbar ist und man bereits Ver. 7.56 installiert hat sehe ich keinen Grund weshalb man dieses Update nicht zeitnah installieren sollte.

 

[Grisu_]

@tacitus-nrw: Vielleicht sind deine Spontananrfe ja sogar eine Folge der Sicherheitslücke, auch wenn ich es selbst nicht für sehr wahrscheinlich halte.
Eher in der Konfig oder bei Updates was aus dem Ruder gelaufen und ein Werksreset wäre dringend anzuraten.
Der löst dann auch gleich dein weiteres Problem mit Geräten im Gastnetzwerk.
So Zustände hatte ich auch schon auf meiner 7590, manchmal hilft die Geräte unter Netzwerk ganz zu löschen.