- Mitglied seit
- 13 Apr 2017
- Beiträge
- 9,768
- Punkte für Reaktionen
- 2,329
- Punkte
- 113
Offenbar Sicherheitslücke in FRITZ!OS (im Webserver) entdeckt ([WID-SEC-2023-2262], CVSS Base Score 7.3 von 10):
Zusammenfassung:
Nach bisherigen Erkenntnissen kann man aufgrund der Lücke anscheinend eine (komplette) Änderung der Konfiguration vornehmen. Dabei wird der reguläre Login-Prozess übergangen, weshalb diese Zugriffe wohl auch nicht in den Ereignissen als fehlgeschlagene Login-Versuche auftauchen. Auch eine aktivierte 2FA kann damit wohl umgangen werden.
Achtung:
Die Lücke kann auch ausgenutzt werden wenn man die Fernwartung per HTTPS nicht aktiviert hat, bspw. per CSRF!
Betroffen scheint nach bisherigen Erkenntnissen wohl:
Auch FRITZ!Repeater, das FRITZ!Smart Gateway sowie FRITZ!Powerline Adapter, die mit FRITZ!OS laufen (bei den Powerline-Adaptern betrifft das nur die Modelle mit WiFi), sind betroffen. Nicht betroffen sind dagegen die FRITZ!Fons, der FRITZ!DECT Repeater 100 sowie die FRITZ!DECT Geräte für SmartHome.
Ob noch ältere FRITZ!OS-Versionen betroffen sind (bspw. Ver. 6.0x / W13) ist noch unbekannt (aber Modelle mit solch alten Versionen sollten eigentlich auch nicht mehr als Router verwendet werden).
Bisher wurden folgende Updates für FRITZ!Boxen veröffentlicht, die das Problem wohl beheben sollen (Stand: 25.09.2023):
Folgende FRITZ!Box-Modelle scheinen noch kein Update erhalten zu haben (werden ggf. noch folgen, Stand: 20.09.2023):
Folgende FRITZ!Repeater haben bisher ein Update erhalten (Stand: 20.09.2023):
FRITZ!Smart Gateway (Stand: 26.09.2023):
Folgende FRITZ!Powerline haben bisher ein Update erhalten (Stand: 20.09.2023):
Edit 06.09.2023 - 23:36:
- https://avm.de/service/sicherheitsinfos-zu-updates/
- https://heise.de/-9294758
- https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-2262
- https://news.italy24.press/technology/816635.html
- https://heise.de/-9323225
Zusammenfassung:
Nach bisherigen Erkenntnissen kann man aufgrund der Lücke anscheinend eine (komplette) Änderung der Konfiguration vornehmen. Dabei wird der reguläre Login-Prozess übergangen, weshalb diese Zugriffe wohl auch nicht in den Ereignissen als fehlgeschlagene Login-Versuche auftauchen. Auch eine aktivierte 2FA kann damit wohl umgangen werden.
Achtung:
Die Lücke kann auch ausgenutzt werden wenn man die Fernwartung per HTTPS nicht aktiviert hat, bspw. per CSRF!
Betroffen scheint nach bisherigen Erkenntnissen wohl:
- FRITZ!OS Ver. 7.5x (MOVE21),
- FRITZ!OS Ver. 7.2x/7.3x (PSQ19, Fritzboxen 3490, 5490, 5491, 6430, 6820v1 LTE, 7430, 7560 und 7580),
- FRITZ!OS Ver. 7.1x (MESH18, Fritzboxen 7362 SL, 7581 und 7582),
- FRITZ!OS Ver. 7.0x (IQ17, Fritzbox 4020),
- FRITZ!OS Ver. 6.8x (C16, Fritzboxen 3272, 6840, 7272, 7360v2, 7390 und 7412),
- FRITZ!OS Ver. 6.5x (P15, Fritzboxen 3370, 3390, 6360, 7312, 7330 und 7330 SL) und
- FRITZ!OS Ver. 6.2x/6.3x (F14, Fritzboxen 6320v2, 6810 LTE, 6842 LTE, 7320, 7360v1, 7360 SL und 7369)
Auch FRITZ!Repeater, das FRITZ!Smart Gateway sowie FRITZ!Powerline Adapter, die mit FRITZ!OS laufen (bei den Powerline-Adaptern betrifft das nur die Modelle mit WiFi), sind betroffen. Nicht betroffen sind dagegen die FRITZ!Fons, der FRITZ!DECT Repeater 100 sowie die FRITZ!DECT Geräte für SmartHome.
- Edit (05.06.2023): Die 7360v2, 7390 und 7412 haben nun ein Update auf FRITZ!OS Ver. 6.88 erhalten. Somit geht das Problem (mindestens) bis auf C16 zurück.
- Edit (06.09.2023): Nun wurde auch für die 7360v1 ein Update veröffentlicht (Ver. 6.36), es geht also (mindestens) bis auf F14 zurück.
- Edit (09.09.2023): Bis zum 07.09.2023 hat AVM für alle FRITZ!Box-Modelle, für die zuvor bereits FRITZ!OS >=6.3x verfügbar war, ein Update zur Verfügung gestellt (von den alten "unfreien" Cable-Modellen aus der 63xx-Reihe mal abgesehen, da liegen mir keine Informationen vor). Die letzte Box war die 7330 SL, wo das Image 23:55 auf dem Server aufgetaucht ist.
- Edit (09.09.2023): Am 08.09.2023 hat AVM begonnen Updates für die FRITZ!Repeater zu veröffentlichen.
- Edit (11.09.2023): Von dieser Sicherheitslücke betroffen scheinen wohl alle FRITZ!OS Versionen >=6.1x bzw. 6.2x zu sein (6.1x = Inhaus-/Laborversionen für 6.2x bzw. Entwicklungszweig F14). FRITZ!OS Versionen <=6.0x (<=W13) sollen (bzw. besser sind vermutlich) nicht davon betroffen, weshalb es u.a. für die 7340, 7270v1/2/3 oder auch 7240 keine entsprechenden Updates geben wird.
- Edit (11.09.2023): Bei den FRITZ!OS Versionen <=6.5x soll ab Buildnumber
3880738787 (Versionsverwaltung Subversion) das Problem behoben sein und ab FRITZ!OS Ver. >=6.8x ab Buildnumber 107809 (Versionsverwaltung Git). - Edit: Am 12.09.2023 hat AVM damit begonnen Updates für die FRITZ!Powerline-Adapter zu veröffentlichen.
- Edit (24.09.2023): Am 22.09.2023 (nach fast drei Wochen) konnte AVM wohl für alle betroffenen Produkte ein Update bereitstellen (ausgenommen ggf. einige 63xx Cable-Modelle, die es offiziell nie als Retail-Modell gab und zu denen mir entspr. Informationen fehlen). Das letzte Gerät war das FRITZ!Smart Gateway welches am 22.09. das entspr. Update erhielt.
- Edit (24.09.2023): Beschreibung ergänzt/erweitert sowie Titel geändert/ergänzt.
- Edit (15.10.2023): Beschreibung ergänzt/erweitert (Zusammenfassung).
Bisher wurden folgende Updates für FRITZ!Boxen veröffentlicht, die das Problem wohl beheben sollen (Stand: 25.09.2023):
- 3272: Ver. 6.89 de / Ver. 6.88 int.
- 3370: Ver. 6.56 de / Ver. 6.54 int.
- 3390: Ver. 6.56 de / Ver. 6.54 int.
- 3490: Ver. 7.31
- 5490: Ver. 7.31
- 5491: Ver. 7.31
- 5530: Ver. 7.57 (04.09.2023) + Ver. 7.58 (08.09.2023, PPP Hotfix)
- 5590: Ver. 7.57 (04.09.2023) + Ver. 7.58 (12.09.2023, PPP Hotfix)
- 6810 LTE: Ver. 6.35 de / Ver. 6.35 int.
- 6820v1 LTE: Ver. 7.30
- 6820v2 LTE: Ver. 7.57
- 6820v3 LTE: Ver. 7.57
- 6840 LTE: Ver. 6.88 de / Ver. 6.88 int.
- 6842 LTE: Ver. 6.35 de
- 6850 LTE: Ver. 7.57
- 6850 5G: Ver. 7.57
- 6890 LTE: Ver. 7.57
- 7272: Ver. 6.89 de / Ver. 6.88 int.
- 7312: Ver. 6.56 de
- 7320: Ver. 6.35 de
- 7330: Ver. 6.56 de / Ver. 6.32 int.
- 7330 SL: Ver. 6.56 de
- 7360v1: Ver. 6.36 de / Ver. 6.34 int.
- 7360v2: Ver. 6.88 de / Ver. 6.88 int. / Ver. 6.53 int. (for Belgacom/Proximus)
- 7360 SL: Ver. 6.35 de / Ver. 6.32 int.
- 7362 SL: Ver. 7.14 de
- 7369: Ver. 6.34
- 7390: Ver. 6.88 de / Ver. 6.88 int.
- 7412: Ver. 6.88 de
- 7430: Ver. 7.31
- 7490: Ver. 7.57 (04.09.2023) + Ver. 7.57-108185 LabPLUS (25.09.2023, DNSSEC Hotfix)
- 7510: Ver. 7.57
- 7520 Typ A: Ver. 7.57
- 7520 Typ B: Ver. 7.57
- 7530: Ver. 7.57 (04.09.2023) + Ver. 7.57-108189 LabPLUS (25.09.2023, DNSSEC Hotfix)
- 7530 AX: Ver. 7.57
- 7560: Ver. 7.30
- 7580: Ver. 7.30
- 7581: Ver. 7.17
- 7582: Ver. 7.17
- 7583: Ver. 7.57
- 7583 VDSL: Ver. 7.57
- 7590: Ver. 7.57 (04.09.2023) + Ver. 7.57-108188 LabPLUS (25.09.2023, DNSSEC Hotfix)
- 7590 AX: Ver. 7.57
Folgende FRITZ!Box-Modelle scheinen noch kein Update erhalten zu haben (werden ggf. noch folgen, Stand: 20.09.2023):
- 6320v2: -
- 6360: -
- 7340: Für das letzte offizielle Stable-Release (Ver. 6.06) ist kein Update nötig (s.o.). Die Verwendung der letzten Labor-Version (Ver. 6.25-31838 BETA) ist dagegen nicht empfehlenswert, da darin die Lücke noch vorh. ist!
Folgende FRITZ!Repeater haben bisher ein Update erhalten (Stand: 20.09.2023):
- 300E: Ver. 6.34 de / Ver. 6.34 int.
- 310 A: Ver. 7.16
- 310 B: Ver. 7.16
- 450E: Ver. 7.15
- 1160: Ver. 7.15
- 1750E: Ver. 7.31
- DVB-C: Ver. 7.03. Hinweis: Die Verwendung der (inoffiziellen) Inhaus-Version 7.08-66669 kann nicht empfohlen werden, da darin die Lücke noch vorh. ist!
- 600v1: Ver. 7.57
- 600v2: Ver. 7.57
- 1200: Ver. 7.57
- 1200 AX: Ver. 07.31 / Ver. 7.57
- 2400: Ver. 7.57
- 3000: Ver. 7.57
- 3000 AX: Ver. 07.42 / Ver. 7.57
- 6000: Ver. 07.31 / Ver. 7.57
FRITZ!Smart Gateway (Stand: 26.09.2023):
Folgende FRITZ!Powerline haben bisher ein Update erhalten (Stand: 20.09.2023):
- 540E: Ver. 7.15
- 546E: Ver. 7.15 / Ver. 6.51 CE / Ver. 6.51 EN
Edit 06.09.2023 - 23:36:
Nach ein paar Firmware-Diffs kann man festhalten, das offenbar (nur) 2 Bibliotheken in den neuen Firmware-Versionen gepatcht wurden:
- /lib/libcmapi.so.1.0.0
- /lib/libwebsrv.so.2.0.0
Zuletzt bearbeitet: