[Info] Sicherheitslücke in FRITZ!OS Ver. 6.2x bis 7.5x [WID-SEC-2023-2262] - 04.09.2023

NDiIPP

IPPF-Promi
Mitglied seit
13 Apr 2017
Beiträge
9,870
Punkte für Reaktionen
2,405
Punkte
113
Offenbar Sicherheitslücke in FRITZ!OS (im Webserver) entdeckt ([WID-SEC-2023-2262], CVSS Base Score 7.3 von 10):

Zusammenfassung:
Nach bisherigen Erkenntnissen kann man aufgrund der Lücke anscheinend eine (komplette) Änderung der Konfiguration vornehmen. Dabei wird der reguläre Login-Prozess übergangen, weshalb diese Zugriffe wohl auch nicht in den Ereignissen als fehlgeschlagene Login-Versuche auftauchen. Auch eine aktivierte 2FA kann damit wohl umgangen werden.

Achtung:
Die Lücke kann auch ausgenutzt werden wenn man die Fernwartung per HTTPS nicht aktiviert hat, bspw. per CSRF!


Betroffen scheint nach bisherigen Erkenntnissen wohl:
  • FRITZ!OS Ver. 7.5x (MOVE21),
  • FRITZ!OS Ver. 7.2x/7.3x (PSQ19, Fritzboxen 3490, 5490, 5491, 6430, 6820v1 LTE, 7430, 7560 und 7580),
  • FRITZ!OS Ver. 7.1x (MESH18, Fritzboxen 7362 SL, 7581 und 7582),
  • FRITZ!OS Ver. 7.0x (IQ17, Fritzbox 4020),
  • FRITZ!OS Ver. 6.8x (C16, Fritzboxen 3272, 6840, 7272, 7360v2, 7390 und 7412),
  • FRITZ!OS Ver. 6.5x (P15, Fritzboxen 3370, 3390, 6360, 7312, 7330 und 7330 SL) und
  • FRITZ!OS Ver. 6.2x/6.3x (F14, Fritzboxen 6320v2, 6810 LTE, 6842 LTE, 7320, 7360v1, 7360 SL und 7369)
zu sein.

Auch FRITZ!Repeater, das FRITZ!Smart Gateway sowie FRITZ!Powerline Adapter, die mit FRITZ!OS laufen (bei den Powerline-Adaptern betrifft das nur die Modelle mit WiFi), sind betroffen. Nicht betroffen sind dagegen die FRITZ!Fons, der FRITZ!DECT Repeater 100 sowie die FRITZ!DECT Geräte für SmartHome.

Ob noch ältere FRITZ!OS-Versionen betroffen sind (bspw. Ver. 6.0x / W13) ist noch unbekannt (aber Modelle mit solch alten Versionen sollten eigentlich auch nicht mehr als Router verwendet werden).

  • Edit (05.06.2023): Die 7360v2, 7390 und 7412 haben nun ein Update auf FRITZ!OS Ver. 6.88 erhalten. Somit geht das Problem (mindestens) bis auf C16 zurück.
  • Edit (06.09.2023): Nun wurde auch für die 7360v1 ein Update veröffentlicht (Ver. 6.36), es geht also (mindestens) bis auf F14 zurück.
  • Edit (09.09.2023): Bis zum 07.09.2023 hat AVM für alle FRITZ!Box-Modelle, für die zuvor bereits FRITZ!OS >=6.3x verfügbar war, ein Update zur Verfügung gestellt (von den alten "unfreien" Cable-Modellen aus der 63xx-Reihe mal abgesehen, da liegen mir keine Informationen vor). Die letzte Box war die 7330 SL, wo das Image 23:55 auf dem Server aufgetaucht ist.
  • Edit (09.09.2023): Am 08.09.2023 hat AVM begonnen Updates für die FRITZ!Repeater zu veröffentlichen.
  • Edit (11.09.2023): Von dieser Sicherheitslücke betroffen scheinen wohl alle FRITZ!OS Versionen >=6.1x bzw. 6.2x zu sein (6.1x = Inhaus-/Laborversionen für 6.2x bzw. Entwicklungszweig F14). FRITZ!OS Versionen <=6.0x (<=W13) sollen (bzw. besser sind vermutlich) nicht davon betroffen, weshalb es u.a. für die 7340, 7270v1/2/3 oder auch 7240 keine entsprechenden Updates geben wird.
  • Edit (11.09.2023): Bei den FRITZ!OS Versionen <=6.5x soll ab Buildnumber 38807 38787 (Versionsverwaltung Subversion) das Problem behoben sein und ab FRITZ!OS Ver. >=6.8x ab Buildnumber 107809 (Versionsverwaltung Git).
  • Edit: Am 12.09.2023 hat AVM damit begonnen Updates für die FRITZ!Powerline-Adapter zu veröffentlichen.
  • Edit (24.09.2023): Am 22.09.2023 (nach fast drei Wochen) konnte AVM wohl für alle betroffenen Produkte ein Update bereitstellen (ausgenommen ggf. einige 63xx Cable-Modelle, die es offiziell nie als Retail-Modell gab und zu denen mir entspr. Informationen fehlen). Das letzte Gerät war das FRITZ!Smart Gateway welches am 22.09. das entspr. Update erhielt.
  • Edit (24.09.2023): Beschreibung ergänzt/erweitert sowie Titel geändert/ergänzt.
  • Edit (15.10.2023): Beschreibung ergänzt/erweitert (Zusammenfassung).



Bisher wurden folgende Updates für FRITZ!Boxen veröffentlicht, die das Problem wohl beheben sollen (Stand: 25.09.2023):

Folgende FRITZ!Box-Modelle scheinen noch kein Update erhalten zu haben (werden ggf. noch folgen, Stand: 20.09.2023):
  • 6320v2: -
  • 6360: -
  • 7340: Für das letzte offizielle Stable-Release (Ver. 6.06) ist kein Update nötig (s.o.). Die Verwendung der letzten Labor-Version (Ver. 6.25-31838 BETA) ist dagegen nicht empfehlenswert, da darin die Lücke noch vorh. ist!



Folgende FRITZ!Repeater haben bisher ein Update erhalten (Stand: 20.09.2023):
  • 450E: Ver. 7.15
  • 1160: Ver. 7.15
  • 1750E: Ver. 7.31
  • DVB-C: Ver. 7.03. Hinweis: Die Verwendung der (inoffiziellen) Inhaus-Version 7.08-66669 kann nicht empfohlen werden, da darin die Lücke noch vorh. ist!

FRITZ!Smart Gateway (Stand: 26.09.2023):



Folgende FRITZ!Powerline haben bisher ein Update erhalten (Stand: 20.09.2023):



Edit 06.09.2023 - 23:36:
Nach ein paar Firmware-Diffs kann man festhalten, das offenbar (nur) 2 Bibliotheken in den neuen Firmware-Versionen gepatcht wurden:
  • /lib/libcmapi.so.1.0.0
  • /lib/libwebsrv.so.2.0.0
Also offenbar eine Schwachstelle im Webserver bzw. der dazugehörigen Programmbibliothek. Normale Binaries (unter /bin, /sbin usw.) sind unverändert bzw. ggf. nur unterschiedlich aufgrund des neuen "CompileDate".
 
Zuletzt bearbeitet:
  • Like
Reaktionen: alecxs
Und wo fände man die?
Welche 6820 meinst du, gibt ja derer 3.
 
Online Update über die Oberfläche funktioniert leider nicht. Bekomme eine Fehlermeldung auf der 7590
 
Müsste mal jemand die Firmware Images vergleichen.... Gibt es PeterPawn hier eigentlich noch?
 
das es im 7.1x Bereich verschiedene Versionen (7.14/7.17) mit diesem Fix gibt OK, aber was hat AVM geritten der 7560/7580 eine 7.30 statt wie allen anderen eine 7.31 zu geben? Macht das ganze ja nicht übersichtlicher.
 
  • Like
Reaktionen: NDiIPP
Es ist halt kein Funktionsupdate sondern nur ein (Not-) Sicherheitsupdate!
 
Die Fritz!Box 7430 ist direkt von 7.29 auf 7.31 gesprungen :oops:
 
ist es ja bei den 7430/5490/5491 von 7.29 auf 7.31 gesprungen
Außer bei der 3490 da war es 7.30 > 7.31 da es dort schon ein 7.29 > 7.30 Bugfix (auch ohne "Funktionszuwachs") gab.
Daher macht die 7.30 für 7560/7580 ja eben keinen Sinn
Mal sehen was bei der 6430 und 6820v1 kommt, die haben ja auch "noch" 7.29
 
Zuletzt bearbeitet:

Fritz!Box 6490 bekommt Fritz!OS 7.57
 
Hier wurde mehrfach "geht nicht" geschrieben.

Ich habe heute am Nachmittag die Imagedatei für die 7590 heruntergeladen und danach auf 16 (i.W. sechzehn) 7590 hintereinander dieses Update installiert. (Ja, selbstverständlich über mein WireGuard-Netz). Und zum Schluss noch einmal (mit der integrierten "Herunterlade- und Updatemöglichkeit") für eine 7520.

Und: bei allen 17 F!B funktionierte das Update völlig problemlos.

@NDiIPP:
Zuerst einmal vielen Dank für deinen zusammenfassenden Beitrag!
Ich habe mir die Eigenmächtigkeit erlaubt, diesen im Kundenforum meines Providers zu verlinken. Hoffe mal, dass du mir dieses nicht allzu übel nimmst.

vy 73 de Peter
 
  • Like
Reaktionen: NDiIPP
6890 LTE nach mehreren Versuchen und bei mehreren Boxen beim Online-Update:
1693848974825.png

Update:
Auch von https://ftp.avm.de nicht downloadbar (Telekom IPv4-APN).
Ich musste dann das Image per VPN auf den jeweiligen "Server" schieben und das Update per FRITZ!OS-Datei machen.
 
Zuletzt bearbeitet:
Server überlastet.
Einfach ein wenig Geduld.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.