Schon wieder diese wilde Theorie. Die September-Updates kann ich anhand von S22 und S23 beurteilen und sie sind größenmäßig im normalen Rahmen von ganz grob 300 MB.
[Info] Sicherheitslücke in FRITZ!OS Ver. 6.2x bis 7.5x [WID-SEC-2023-2262] - 04.09.2023
- Ersteller NDiIPP
- Erstellt am
Roboto
Neuer User
- Mitglied seit
- 15 Nov 2008
- Beiträge
- 168
- Punkte für Reaktionen
- 62
- Punkte
- 28
Produkt: FRITZ!WLAN Repeater DVB-C
Version: FRITZ!OS 7.03
Sprache: deutsch
Release-Datum: 20.09.2023
**Verbesserungen im FRITZ!OS 7.03**
- **Behoben** Stabilität und Sicherheit erhöht
Version: FRITZ!OS 7.03
Sprache: deutsch
Release-Datum: 20.09.2023
**Verbesserungen im FRITZ!OS 7.03**
- **Behoben** Stabilität und Sicherheit erhöht
Recovery ist auch da: https://ftp.avm.de/fritzwlan/fritzw...ter_DVB_C.en-de-es-it-fr-pl.07.03.recover.exe
Jstessi
Aktives Mitglied
- Mitglied seit
- 15 Jul 2018
- Beiträge
- 2,402
- Punkte für Reaktionen
- 966
- Punkte
- 113
Ist eigentlich bekannt, dass AVM aktiv mit einer ihnen zugehörigen IP an der Eingabemaske für Namen und Passwort vorbei auf die Fritzboxen zugreift, und dabei einen (meinen Boxen) unbekannten Namen nutzt? Dies sind die beiden Zugriffe, die am 18.9. bei mir erfolgten:
7590:
6690:
die Adresse stammt von hier:
Umso länger ich mir diese Begebenheiten vor Augen halte, desto mehr wächst in mir die Vermutung, dass eine uralte Backdoor 'aufgeflogen' ist und nun entweder durch eine neue, oder ein geändertes Verfahren ersetzt werden musste. Dass MyFritz dabei eine maßgebliche Rolle spielen könnte, dürfte bei der Frage der eigenen IP und des genutzten Ports für https:// einleuchten.
Ich bin sicherlich kein Verschwörungstheoretiker und stehe mit beiden Beinen fest auf dem Boden. Am liebsten wäre es mir, man könnte mich von der Falschheit obiger Annahmen argumentativ überzeugen.
Gruß, Jürgen
7590:
6690:
die Adresse stammt von hier:
Umso länger ich mir diese Begebenheiten vor Augen halte, desto mehr wächst in mir die Vermutung, dass eine uralte Backdoor 'aufgeflogen' ist und nun entweder durch eine neue, oder ein geändertes Verfahren ersetzt werden musste. Dass MyFritz dabei eine maßgebliche Rolle spielen könnte, dürfte bei der Frage der eigenen IP und des genutzten Ports für https:// einleuchten.
Ich bin sicherlich kein Verschwörungstheoretiker und stehe mit beiden Beinen fest auf dem Boden. Am liebsten wäre es mir, man könnte mich von der Falschheit obiger Annahmen argumentativ überzeugen.
Gruß, Jürgen
Hallo Jürgen,
kann es sein, dass du auf den besagten Boxen die MyFritz Direktverbindung aktiviert hast oder mal hattest?
Wobei ich mir auch nicht sicher bin, ob das mit der 7.29 schon funktionierte!?!
Ich habe gerade bei 4 aktiven Netzen an unterschiedlichen Standorten nachgesehen... 7590 ax, 6690, 7520 und 7590 - alles Masterboxen bzw. Gateway´s
Auf keinen dieser Boxen fand ich unter "System" so einen Eintrag wie von dir. Lediglich die Fernzugriffe waren zu sehen...
Gruß
Roland
kann es sein, dass du auf den besagten Boxen die MyFritz Direktverbindung aktiviert hast oder mal hattest?
Wobei ich mir auch nicht sicher bin, ob das mit der 7.29 schon funktionierte!?!
Ich habe gerade bei 4 aktiven Netzen an unterschiedlichen Standorten nachgesehen... 7590 ax, 6690, 7520 und 7590 - alles Masterboxen bzw. Gateway´s
Auf keinen dieser Boxen fand ich unter "System" so einen Eintrag wie von dir. Lediglich die Fernzugriffe waren zu sehen...
Gruß
Roland
Jstessi
Aktives Mitglied
- Mitglied seit
- 15 Jul 2018
- Beiträge
- 2,402
- Punkte für Reaktionen
- 966
- Punkte
- 113
Nein, Roland,
ich habe alle Fernzugriffe wie TR069 und TR369 disabled. Es fällt ja auch auf, dass die Hackversuche alle mit der Meldung: "Name oder Passwort falsch" abbrechen, der obige von AVM jedoch als APP fungiert, die an den Einlogdaten vorbeigeht. Und meinen genutzten https://-Port kann nur AVM kennen - habe ich vor kurzem erst geändert
ich habe alle Fernzugriffe wie TR069 und TR369 disabled. Es fällt ja auch auf, dass die Hackversuche alle mit der Meldung: "Name oder Passwort falsch" abbrechen, der obige von AVM jedoch als APP fungiert, die an den Einlogdaten vorbeigeht. Und meinen genutzten https://-Port kann nur AVM kennen - habe ich vor kurzem erst geändert
Hallo Jürgen,
könnte das vielleicht auf einen Versuch seitens AVM hindeuten, dass sie deine Boxen auf 7.57 zwangsupdaten wollen, aber durch das Abschalten von TR069 und /oder TR369 nicht funktioniert?
Du könntest das überprüfen, wenn du einer deiner Boxen auf 7.57 hochziehst und schaust, ob die Meldungen nach einem gewissen Zeitraum ausbleiben, nachdem die 7.57 unter myfritz.net angezeigt wird.
Du kannst ja anschließend durch Umschalten der Partition wieder auf 7.29 zurück. Ist zwar mit etwas Arbeit verbunden, aber so könntest du das mMn am besten überprüfen. Hier im Forum finden sich mehrere Einträge - einschließlich einer von mir -, dass ein Update auf 7.57 durchgeführt wurde, obwohl die Updatefunktion auf "nur informieren" stand. Evtl. will AVM auf Biegen und Brechen das Update ausführen um die Sicherheitslücke zu schließen.
Gruß
Roland
könnte das vielleicht auf einen Versuch seitens AVM hindeuten, dass sie deine Boxen auf 7.57 zwangsupdaten wollen, aber durch das Abschalten von TR069 und /oder TR369 nicht funktioniert?
Du könntest das überprüfen, wenn du einer deiner Boxen auf 7.57 hochziehst und schaust, ob die Meldungen nach einem gewissen Zeitraum ausbleiben, nachdem die 7.57 unter myfritz.net angezeigt wird.
Du kannst ja anschließend durch Umschalten der Partition wieder auf 7.29 zurück. Ist zwar mit etwas Arbeit verbunden, aber so könntest du das mMn am besten überprüfen. Hier im Forum finden sich mehrere Einträge - einschließlich einer von mir -, dass ein Update auf 7.57 durchgeführt wurde, obwohl die Updatefunktion auf "nur informieren" stand. Evtl. will AVM auf Biegen und Brechen das Update ausführen um die Sicherheitslücke zu schließen.
Gruß
Roland
Peter_Lehmann
Mitglied
- Mitglied seit
- 13 Mrz 2007
- Beiträge
- 711
- Punkte für Reaktionen
- 289
- Punkte
- 63
Was ich sogar gut verstehen würde. Wenn ich auch mit der (hier vermuteten) Methode keinesfalls einverstanden bin.
Jstessi
Aktives Mitglied
- Mitglied seit
- 15 Jul 2018
- Beiträge
- 2,402
- Punkte für Reaktionen
- 966
- Punkte
- 113
Moin zusammen,
davon gehe ich, ehrlichgesagt, nicht aus. Der Zugriff seitens AVM erfolgte ja erst, nachdem MyFritz.Net im Web nicht mehr erreichbar war, jedoch mein Versuch, meine eigenen Boxen über MyFritz als DDNS zu erreichen, sehr wohl funktionierte. Ich wollte damit schlicht die Funktionalität als Adressgeber testen, obwohl die Webseite in einer Loop festhing.
Ich glaube auch, dass dies ein einmaliger Vorgang bleiben wird; es wäre hingegen sehr interessant, ob bei einer zugrundeliegenden Firmwareversion 7.57 der Anmeldename (siehe hier) DOCH erkannt worden wäre, was meine Vermutung einer Backdoor (natürlich im positiven Supportsinn) stützen würde. Aus der Vergangenheit ist mir auch bekannt, dass auf eine KabelBox schon einmal von AVM aus der Ferne eine andere (ältere?) Firmware aufgespielt wurde. In dem Zusammenhang spielte die MACB wohl eine wichtige Rolle. Für dei letzten beiden Sätze lege ich meine Hand allerdings nicht ins Feuer, da dies NICHT bei mir selbst stattgefunden hat.
Es fällt auch auf, dass der Zugriff auf meine beiden Boxen, die per IPSEC-VPN verbunden sind, zeitlich nur 13 Sekunden auseinanderliegt, und so schnell habe ich garantiert meine Versuche, MyFritz.Net zu erreichen, nicht starten können. Konsequenterweise habe ich auch die restlichen 3 per VPN verbundenen Boxen (7490, 6591 und 7590) auf verdächtige Einträge untersucht, habe aber keine finden können.
Was ist nun mein Resümee aus dieser Aktion?
- MyFritz mit seinen vielen Funktionen ist sicherlich eine schöne Sache für den User, hinterlässt in puncto Datenintegrität bei mir aber inzwischen einen zwiespältigen Eindruck
- schon öfter habe ich mich gefragt, wo der Gegenwert für AVM für die entstehenden Kosten zur Aufrechterhaltung des MyFritz-Dienstes ist
- Soweit ich weiß, ist es bei anderen Netzwerk-Herstellern durchaus üblich, ein 'Superuser-Passwort' installiert zu haben, mittels dessen ein Fernzugriff möglich wird
- Mich springt der Gedanke förmlich an, dass eben eines dieser 'Superuser-Passwörter' in Italien geleaked und missbraucht wurde und daher auf allen Geräten so schnell wie möglich ersetzt werden musste, auch bei Repeatern
- Dass ich bei meinen 5 VPNs (4 davon dauerhaft aktiv, 6850 selten) schon damals bei der Einrichtung auf MyFritz verzichtet habe und stattdessen den GoIp.de-Dienst als Adressgeber nutzte, war primär dem Umstand geschuldet, bei einem Gerätewechsel die gesamten VPNs nicht neu einzurichten zu müssen [Adresse ändert sich bei neuem Gerät].
- Viele haben auch hier schon bemerkt, dass es so trivial gar nicht ist, die Gesprächigkeit der FritzBox im Hinblick auf Updates einzuschränken. Auch der Geschwindigkeitsmessdienst von AVM namens 'Zack' zeigt auf der rechten Seite unter 'mehr Infos' Details zur verwendeten FritzBox an. Bei mir steht Folgendes:
probiert's einfach mal aus; ich vermute stark, bei Euch steht mehr
So, genug metaphysische Baumwolle. Ich bin mir bewusst, dass meine geäußerten Vermutungen nicht alle zutreffen werden. Aber was ist, wenn nur eine davon stimmt?
Habt einen schönen Freitag, Jürgen
[Edit Novize: Gelöschten/zerstörten Beitrag wieder hergestellt - Threadvandalismus wird nicht geduldet]
bei mir steht alles da
bei mir steht alles da
Zuletzt bearbeitet von einem Moderator:
Neueste Beiträge
-
Fritzbox nicht unter IPv6 erreichbar- Letzte: frank_m24
-
DECT Repeater mit POE für die FB- Letzte: Flieger
-
[Sammlung] Fritz!Box 5690Pro, Inhaus/Labor 7.90, Pfad 'Smart24P1FCS'
- Letzte: Pascha46
-
[Sammlung] AVM-Gateway-kompatible Zigbee-Geräte
- Letzte: zorro neu
-
[Sammlung] FRITZ!Smart Control 440 - Firmware 4.89 - 5.xx
- Letzte: zorro neu
-
[Frage] Voip und VPN
- Letzte: nukecarpet
-
Fanvil X7 / IPCam
- Letzte: Multireed