[Info] Sicherheitslücke in FRITZ!OS Ver. 6.2x bis 7.5x [WID-SEC-2023-2262] - 04.09.2023

[…] er würde eher Google mit site: Parameter auf gängige DynDNS Adressen nutzen.
Beispielsuchbegriffe: site:myfritz.net login
Funktioniert nicht. Zumindest nicht bei den von mir erwähnten Boxen. Auch nicht mit "site:verwendeter-ddnsanbieter.xy"

Sind Repeater und PowerLAN (Powerline) überhaupt von dem Sicherheits-Bug betroffen?
Auch die nutzen den ctlmgr sowie den Webserver von FRITZ!OS für das WebIF.
 
  • Like
Reaktionen: Grisu_
... und Vodafone macht nichts bei ihren 6490 Cabel Box. Ich habe immer noch V 7.29
Mahlzeit. Ggf. mal die Box neu starten., wenn du das beschleunigen möchtest.
Das löst ggf. ein Update durch VF aus. Kann aber auch sein dass deine Box noch nicht dran ist.
Nun für die 6591 (eigene Erfahrung) sowie 6690, 6430 (lt. Kabeluser-Forum) hat es funktioniert.
 
@Grisu_ Ein Angriff von Innen durch ein kompromittiertes Endgerät gegen einen Repeater wäre ein mögliches Szenario.
 
Wie wolltem man sich vor Angriffen von Innen überhaupt schützen.
Da kommst ja sowieso auf jedes Gerät im Heimnetz.
Ist da nicht sowieso schon alles zu spät oder unwirksam?
 
Sind Repeater und PowerLAN (Powerline) überhaupt von dem Sicherheits-Bug betroffen?
Einige Repeater haben bereits das Sicherheitsupdate erhalten - also ja. Powerline haben kein Webinterface, also würde ich auf nein tippen (mit Ausnahme von 546E)
 
Wie wolltem man sich vor Angriffen von Innen überhaupt schützen.
Mit einem Passwort bzw. Benutzername + Passwort beim WebIf-Login u.a. bspw. für das WebIf der WiFi-Repeater oder Powerline-Adapter. Ist ja nicht ganz zum Spaß da. Mutmaßlich kann man aufgrund der Lücke alle Funktionen des ctlmgr ohne Login nutzen, das führt dann eben die bestehende Absicherung des WebIf per Passwort ab absurdum (ähnlich wie damals die webcm-Lücke).

Sicherlich hat das Update bei den Fritzboxen die größte Priorität gehabt, da diese primär für den Einsatz als Router ausgelegt sind, insb. wenn dann ggf. auch noch die Fernwartung freigegeben ist. Aber kurz- bis mittelfristig wird die Lücke sicherlich auch auf für die verbliebenen Geräte, die mit FRITZ!OS laufen, geschlossen werden müssen (denn auch die LANs sind nicht als 100% sicher einzustufen, insb. bei all den Clients die man da mittlerweile vorfindet). Also auch die WLAN-Repeater, Powerline-Adapter (da laufen aber nur einige Modelle mit FRITZ!OS, betrifft dort nur die Modelle mit WiFi und das ist nicht nur der 546E) oder eben auch das Smart Gateway.

Nicht betroffen sein dürften wohl die Powerline-Adapter ohne WiFi, die DECT-Telefone und die anderen DECT-Geräte u.a. für SmartHome (Plugs, Bulbs, Swicthes usw.).

Da kommst ja sowieso auf jedes Gerät im Heimnetz.
Dann hast du bei der Konfiguration deines LAN bzw. der darin betriebenen Geräte geschlampt.
 
?
Welches Gerät im eigenen LAN oder WLAN sollte nicht auf alles andere zugreifen können.
Standardmäßig mal schon und das wird bei den meisten wohl auch so eingerichtet sein.

Auf einem Repeater kommt man dann vielleicht ohne User/PW zwar auf dessen GUI, nur was soll man da schon groß anstellen können (außer die Verbindung zum Master kappen)?
Die sind ja mittlerweile schon so dumm, daß man gar keine Sicherung mehr ziehen oder einspielen kann, also quasi Plug&Play.
 
Hallo @Grisu_,

dann will ich dir mal mit einer Tatsache antworten, welche ich sehr oft in meiner beruflichen Praxis erlebt habe:
Viele (sorry!) dumme, bequeme und nicht an Sicherheit interessierte Menschen nutzen überall ein und dasselbe Passwort.
Wenn sich ein Angreifer auf irgendein wichtiges Gerät Zugang beschaffend will, sucht er zuerst einmal nach Geräten, welche er am leichtesten angreifen kann. Mit etwas Glück erbeutet er dort das root- oder Adminpasswort für das genannte wichtige Gerät. Ich sage dir nur: die Erfolgsquote ist sehr hoch!

Klar, in irgendeinem unwichtigen privaten Hausnetz ist die Gefahr eines qualifizierten Angriffs viel niedriger. Aber du hast ja immerhin diese Frage gestellt und ich wollte dir antworten.
 
Viele (sorry!) dumme, bequeme und nicht an Sicherheit interessierte Menschen nutzen überall ein und dasselbe Passwort.

Dumm ist hier vielleicht der falsche Ausdruck, der Mensch ist halt ein Gewohnheitstier :)

Aber ich verstehe genau, was du damit sagen willst und kenne das auch aus meiner Erfahrung.
Viele - vor allem "ältere" Menschen, haben aber auch Probleme damit, sich die Flut an verschiedenen Passwörtern zu merken.
Geht mir langsam auch nicht anders :rolleyes:

Meistens wird eine gewisse Länge eines Passwortes gefordert, dabei mind. 1 Großbuchstabe und ein Sonderzeichen.
Hat man dann "sein" Masterpasswort gefunden, z. Bsp. "Beispielpasswort191+", wird das gerne bei jedem Anlass und den unterschiedlichen Anwendungen genutzt, und schon landet man bei deinem angesprochenen Problem.

Mein Tipp dazu... Man kann ja sein Präfix für die App, Programm oder Webseite hinzufügen. Dieses muss nicht in voller Länge ausgeschrieben werden, aber so hat man unterschiedliche Passwörter und muss sich trotzdem nicht alles merken oder aufschreiben.

Hier mal ein paar Beispiele, damit man es besser versteht.

Für Chrome z. Bps.

chrome-Beispielpasswort191+ oder chr-Beispielpasswort191+

Firefox

firefox-Beispielpasswort191+ oder fir-Beispielpasswort191+

Forum - Iphone Forum

ipphoneforum-Beispielpasswort191+ oder ipf-Beispielpasswort191+

Ich hoffe, du verstehst, was ich damit meine.

So hat man für jeden Zugang ein eigenes Passwort, und muss trotzdem nicht lange darüber nachdenken, wie das vergebene Passwort heißt.

Gruß

Roland
 
Ich hoffe, du verstehst, was ich damit meine.
Ich (auch schon etliche Jahre Rentner) verstehe das von dir geschriebene nicht nur, ich bezeichne diese Lösung sogar als eine recht gute und trotzdem praktikable. Also ein sehr guter und empfehlenswerter Kompromiss aus Sicherheit und Bequemlichkeit!
Trotzdem: bei mir geht nichts über meinen guten und zuverlässigen Passwortmanager "keepassxc" (mit lokal gespeicherter und auf sicherem Weg automatisch auf alle meine Geräte synchronisierter Datenbank). Zusätzlich "gehärtet" mit meinen Yubikey (<= ja, bei mir dringt immer noch der Beruf durch …) kann ich für jeden einzelnen Zugang ein sicheres und garantiert nicht merkbares Passwort generieren und dieses ohne es ein einziges Mal einhacken zu müssen bei der Anmeldung nutzen.

So, um nicht einem "Forencleaner" aufzufallen und vlt. noch wegen [OT]-Beiträgen aus dem Forum verbannt zu werden, ist für mich hier Schluss.

vy 73 de Peter
 
Wann ist wohl die 7270 dran?
Gar nicht. Siehe mein Edit in Beitrag #1:
  • Edit (11.09.2023): Von dieser Sicherheitslücke betroffen scheinen wohl alle FRITZ!OS Versionen >=6.1x bzw. 6.2x zu sein (6.1x = Inhaus-/Laborversionen für 6.2x bzw. Entwicklungszweig F14). FRITZ!OS Ver. <=6.0x (<=W13) sollen dagegen nicht betroffen sein, weshalb es u.a. für die 7340, 7270v1/2/3 oder auch 7240 keine entsprechenden Updates geben wird.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: rst-cologne
Da wirst du nicht der einzige sein… Und es ist ja nicht nur der Repeater 6000, bei den Repeatern sind noch etliche Modelle ungefixt. Und dann wären da noch die Powerline-Adapter mit FRITZ!OS…
 
@NDiIPP Hat sich AVM zu den betroffenen Versionen geäußert oder ist es nur eine begründete Vermutung, weil bisher keine so alten Versionen gefixed worden sind
 
Mal sehen, ob der Repeater 310 noch berücksichtigt wird, letzte Version ist 7.15. Brauche ich hier nur für das Garagentor, ich war aber immer zu geizig hier was Aktuelles zu kaufen.
 
1260E 7.57 (1260 ohne "E" noch nicht)
1240E 7.16
540E 7.15
600 (v1/v2) 7.57
1160 7.15

[Edit Novize: Beiträge zusammengefasst - siehe Forumsregeln]

1260 (ohne E) 7.57
546E 7.15

2400 7.57
450 7.15
 
Zuletzt bearbeitet:
  • Like
Reaktionen: NDiIPP
Leider findet mein 546e kein Update, laut Suche ist 7.14 aktuell.
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,149
Beiträge
2,246,980
Mitglieder
373,668
Neuestes Mitglied
Stripi
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.