[Info] Sicherheitslücke in FRITZ!OS Ver. 6.2x bis 7.5x [WID-SEC-2023-2262] - 04.09.2023

Hättest vllt. noch einige Worte zu den Details schreiben können und nicht nur den "Bezahl"-Artikel verlinken.
 
  • Like
Reaktionen: Grisu_
Viel mehr gibt es da nicht zu lesen.
automatisch mit der abgesicherten Firmware versorgt werden – „wird die zeitnahe Installation der aktuellen FRITZ!OS-Version empfohlen“. Einzelheiten will die Firma erst „zu einem späteren Zeitpunkt“ nennen.
 
So ist es. Man weiß zwar offenbar mehr und konnte die Lücke wohl beim Test ausnutzen aber im c't-Artikel steht:
Es versteht sich von selbst, dass wir keine neuen Details veröffentlichen, die Angriffe erleichtern könnten.

Davon abgesehen hatte ich den Link zum c't-Artikel bereits vor 2 Tagen in #1 mit hinzugefügt (mit Paywall-Hinweis). Die eine (wesentliche) neue Erkenntnis aus diesem Artikel hatte ich ebenfalls mit in #1 aufgenommen, mittlerweile dort rot hervorgehoben.
 
Da vorn fällt ein Einzeiler nicht mehr wirklich auf.
Und ja, mein Abo hat mich wirklich die Paywall vergessen lassen.
 
Da vorn fällt ein Einzeiler nicht mehr wirklich auf.
Genauso wie "Neuankömmlinge" es mittlerweile vermutlich schwer haben dürften die wesentlichsten/wichtigsten Beiträge zu finden bei der Anzahl an Beiträgen, die sich mittlerweile auf 15 Seiten verteilen… :D

Von daher gilt weiterhin das was ich auf Seite 5 schrieb:
Aufgrund der laufend neuen Informationen wird #1 regelmäßig aktualisiert. Also zuerst in Beitrag #1 schauen und erst wenn dort die Frage noch nicht beantwortet ist fragen.
Auch wenn #1 mittlerweile vielleicht nicht mehr täglich aktualisiert wird…

BTW:
Und ja, mein Abo hat mich wirklich die Paywall vergessen lassen.
Bevor ich Artikel o.ä. von bspw. einer Zeitschrift verlinke versuche ich vorher i.d.R. herauszufinden (bspw. per "privater Sitzung/Fenster" im Browser oder "unbelecktem" Browser-Profil), ob sich dieser ggf. hinter einer Paywall befindet oder nicht. Beim heise-Verlag funktioniert das so ganz gut aber bspw. bei der NZZ nicht, da man da Anfangs die Artikel lesen kann und erst nach 2 oder 3 angeschauten Artikeln die Paywall sichtbar wird. Aber das mal nur so am Rande…
 
Halli Hallo zusammen,

zu dieser Thematik stellt sich mir eine Frage: Wenn eine FRITZ!Box unwissentlich bereits Ziel eines derartigen Angriffs war und der Besitzer der FRITZ!Box danach die gegenwärtig aktuelle Firmware aufspielt, besteht nachträglich die Möglichkeit dass der Angreifer wieder Zugriff auf die FRITZ!Box bekommen kann?

Mit freundlichem Gruß
Teoma
 
Wenn er sich über die Hintertür einen User anlegen konnte kann er den nachher sicher ganz normal weiternutzen.
Da man aber noch immer nichts genaues weiß, was los war, bleibt auch das vorerst vermutlich nur Spekulation.
 
  • Like
Reaktionen: TeomaHK
Das ist aber immerhin etwas, wo der Anwender nachsehen kann - wenn er noch Zugriff auf die Box hat. Der Angreifer könnte auch die Passwörter geändert oder, falls der Anwender einen eigenen Account anstatt dem box-eigenen Standardaccount verwendet, diesen gelöscht haben.
Und wo man gerade dabei ist, die Benutzerliste auf Richtigkeit zu überprüfen: Auch die Registerkarte "Apps" sollte kontrolliert werden, ob da ggfs. noch veraltete Einträge stehen, bspw. die AVM-Apps von alten Smartphones.

Zumindest ist bislang nicht bekannt, ob auf einer FritzBox unsichtbare Backdoor-Accounts eingerichtet werden können.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: TeomaHK
Wenn man wirklich den Verdacht hat, dass noch was "böses" in der Box schlummert, hilft Werksreset (oder besser noch Recover) mit anschließendem Neueinrichten.
 
  • Like
Reaktionen: TeomaHK
Zumindest ist bislang nicht bekannt, ob auf einer FritzBox unsichtbare Backdoor-Accounts eingerichtet werden können
Da widerspreche ich dann mal geschwind ... auch wenn es denkbar ist, daß AVM mit der Abschaffung der "alten" Anmeldemodi ("keine Anmeldung" bzw. "Anmeldung nur mit Kennwort") auch das "Verstecken" von Benutzerkonten überarbeitet haben könnte (das habe ich seitdem nicht mehr richtig(!) geprüft), so waren aber davor alle Benutzerkonten im GUI "versteckt", die mit einem @ als erstem Zeichen begannen.

Diese waren dann zwar auch nicht ohne weiteres für eine Anmeldung am GUI zu verwenden, aber für die Benutzung von "Schnittstellen" durchaus (zumindest bis zur erwähnten Änderung). Das habe ich hier im Board auch einige Male erwähnt und (iirc) sogar gezeigt (ich finde bloß gerade nicht "sämtliche Erwähnungen" bzw. habe keine Lust/Zeit, danach zu suchen).

Erschwerend kommt dann ja noch hinzu (bei der realistischen Einschätzung, ob es solche Accounts geben könnte), daß auch in der Sicherungsdatei für den durchschnittlichen Benutzer nicht zu erkennen ist, WELCHE Benutzerkonten da angelegt sind - dann deren Namen sind ja bekanntlich verschlüsselt und müssen erst dekodiert werden, wenn man sie lesen will.
 
  • Like
Reaktionen: TeomaHK
Halli Hallo zusammen

und vielen Dank für eure hilfreichen Antworten. Womit ich auch bei einer logischen Schlussfolgerung wäre:

Hätte AVM in der Hinsicht "nachträgliche Prävention" eben genau diese hilfreichen Hinweise wie z.B. in den Post's 292 und 293 mit auf dem Weg geben können?

Oder vielleicht sogar "müssen". Dass da etwas "Wichtiges" nicht in Ordnung war, wurde spätestens mit den ersten Hinweisen im Netz ersichtlich. Und dass es nicht nur eine Kleinigkeit war, wurde spätestens mit dem großen Rollout von AVM bekannt bzw. klar. Welche Gründe könnte es dafür geben, eben diese nachträglichen "Schutzmaßnahmen" dem Besitzer einer von diesem Problem betroffenen FRITZ!Box nicht mit auf dem Weg zu geben? In meinen Augen eher wohl keine. Allein nur der Hinweis*
Mit jedem neuen FRITZ!OS-Update aktualisiert AVM auch die Sicherheitsfunktionen und empfiehlt daher grundsätzlich für alle Geräte, das Update durchzuführen.
ist meiner Meinung nach nicht als ausreichend zu betrachten.

Ich bin ein langjähriger Fan sowie intensiver Nutzer von AVM-Produkten und mir geht es mit diesem Post nicht um Hetze oder gar Polemik, sondern meinem Erachten nach um durchaus berechtigte Kritik.

Mit freundlichem Gruß
Teoma

* info_de.txt der FRITZ!Box 7590, 6890 LTE und 6690 Cable
 
  • Like
Reaktionen: Grisu_
Der Fehlerfall war ja wohl, dass man sich nicht mehr Einloggen konnte und die Internet Zugangsdaten gelöscht oder verändert waren. Nach einem Werksreset war wohl wieder alles ok.
Ich würde mal vorsichtig behaupten: Wenn nach dem Update auf die abgesicherte FW-Version noch Nacharbeit nötig wäre, hätte es dazu von AVM eine Mitteilung gegeben.
Dass sie bis jetzt immer noch keine Einzelheiten zum Fehler veröffentlicht haben, sehe ich (noch) ein. Die "Details" wären ja für manche Leute eine Einladung, das Häcken auch mal zu probieren.
 
Der Fehlerfall war ja wohl, dass man sich nicht mehr Einloggen konnte und die Internet Zugangsdaten gelöscht oder verändert waren. Nach einem Werksreset war wohl wieder alles ok...
Du beschreibst damit das Worst-Case und es erfolgt anschließend ein Shutdown mit entsprechender Zurücksetzung in den Originalzustand. Ja - dann sollte wieder alles in Ordnung sein.
Doch nicht nur ich sehe auch die Möglichkeit, dass sich durch diese Schwachstelle ein Angreifer "einnisten" könnte (wie bereits weiter oben von @H´Sishi erwähnt), um - zu einem späteren Zeitpunkt oder auch gleich - unbemerkt Aktionen zum Schaden des Betroffenen ausführen zu können. Vorausgesetzt, dass der entsprechende Push-Mail-Dienst in der FRITZ!Box nicht aktiviert ist, bemerkt der Angegriffene bei diesem Szenario nicht sofort, dass etwas nicht in Ordnung ist. Selbst dann nicht, wenn das "Stabilitäts- und Sicherheitsupdate" auf die FRITZ!Box eingespielt wird.
Das, worauf ich weiter oben hinwies und was nachfolgende Kommentare beschrieben haben, sind eigenständige Kontrollmaßnahmen des Besitzers, um mögliche Anzeichen einer Manipulation der FRITZ!Box oberflächlich erkennen zu können. Und...
...Ich würde mal vorsichtig behaupten: Wenn nach dem Update auf die abgesicherte FW-Version noch Nacharbeit nötig wäre, hätte es dazu von AVM eine Mitteilung gegeben...
... genau diese Informationen sollte von AVM bei einer derartig hoch eingestuften Sicherheitslücke (siehe dazu auch die verlinkten Quellen im Eröffnungsthread) im selben Zug dem Benutzer einer betroffenen FRITZ!Box preisgegeben werden. Nicht mehr. Aber auch nicht weniger! Denn...
...Dass sie bis jetzt immer noch keine Einzelheiten zum Fehler veröffentlicht haben, sehe ich (noch) ein. Die "Details" wären ja für manche Leute eine Einladung, das Häcken auch mal zu probieren.
...meiner Meinung nach ist selbst das veröffentlichen spezifischer Details zu dieser Schwachstelle für Scriptkiddie's noch zu hoch.
Menschen wie @PeterPawn z.B. benötigen dafür nicht erst Hinweise von außen um eine derartige Schwachstelle erkennen und vielleicht benutzen zu können. Diese Menschen stecken tief in dieser Materie und wissen, welchen Schaden man damit auf welchem Wege verursachen kann. Und ich hoffe, dass dieses Beispiel nicht in die falsche Richtung missverstanden wird. Ich schätze und baue auf die Fachkenntnis von @PeterPawn schon seit den 2000'ern in diesem Forum.

Ich bin nach wie vor der Ansicht, dass zeitnah ein offener Umgang bei derartigen Sicherheitslücken vom Hersteller gepflegt werden sollte, damit der Betroffene mit weniger Fachkenntnis auch lernen kann, sich mit einfachen Mitteln vorsorglich und selbstbestimmt zu schützen. Ein herunterspielen der möglichen Gefahr durch Schweigen oder vielleicht ausweichenden Argumenten ist in meinen Augen womöglich noch gefährlicher als die Schwachstelle selbst.

Mit freundlichem Gruß
Teoma
 
Ich bin kein Experte, nur "webserver" sind ja oftmals mit SSL verwurschelt, wo es imho einige Lecks gab? Ich würde in der Ecke ein relativ simples Leck vermuten, was durch ein paar Zeilen Code gefixt wurde. Der Umfang an Updates in der kurzen Zeit kann kein Megaproject gewesen sein.
Just my 2 Cent
 

Statistik des Forums

Themen
246,171
Beiträge
2,247,421
Mitglieder
373,714
Neuestes Mitglied
Panicmaker
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.