[Info] Sicherheitslücke in FRITZ!OS Ver. 6.2x bis 7.5x [WID-SEC-2023-2262] - 04.09.2023

[NDiIPP]

Offenbar Sicherheitslücke in FRITZ!OS (im Webserver) entdeckt ([WID-SEC-2023-2262], CVSS Base Score 7.3 von 10):

• https://avm.de/service/sicherheitsinfos-zu-updates/
• https://heise.de/-9294758
• https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-2262
• https://news.italy24.press/technology/816635.html
• https://heise.de/-9323225

Zusammenfassung:
Nach bisherigen Erkenntnissen kann man aufgrund der Lücke anscheinend eine (komplette) Änderung der Konfiguration vornehmen. Dabei wird der reguläre Login-Prozess übergangen, weshalb diese Zugriffe wohl auch nicht in den Ereignissen als fehlgeschlagene Login-Versuche auftauchen. Auch eine aktivierte 2FA kann damit wohl umgangen werden.

Achtung:
Die Lücke kann auch ausgenutzt werden wenn man die Fernwartung per HTTPS nicht aktiviert hat, bspw. per CSRF!

Betroffen scheint nach bisherigen Erkenntnissen wohl:

• FRITZ!OS Ver. 7.5x (MOVE21),
• FRITZ!OS Ver. 7.2x/7.3x (PSQ19, Fritzboxen 3490, 5490, 5491, 6430, 6820v1 LTE, 7430, 7560 und 7580),
• FRITZ!OS Ver. 7.1x (MESH18, Fritzboxen 7362 SL, 7581 und 7582),
• FRITZ!OS Ver. 7.0x (IQ17, Fritzbox 4020),
• FRITZ!OS Ver. 6.8x (C16, Fritzboxen 3272, 6840, 7272, 7360v2, 7390 und 7412),
• FRITZ!OS Ver. 6.5x (P15, Fritzboxen 3370, 3390, 6360, 7312, 7330 und 7330 SL) und
• FRITZ!OS Ver. 6.2x/6.3x (F14, Fritzboxen 6320v2, 6810 LTE, 6842 LTE, 7320, 7360v1, 7360 SL und 7369)

zu sein.

Auch FRITZ!Repeater, das FRITZ!Smart Gateway sowie FRITZ!Powerline Adapter, die mit FRITZ!OS laufen (bei den Powerline-Adaptern betrifft das nur die Modelle mit WiFi), sind betroffen. Nicht betroffen sind dagegen die FRITZ!Fons, der FRITZ!DECT Repeater 100 sowie die FRITZ!DECT Geräte für SmartHome.

Ob noch ältere FRITZ!OS-Versionen betroffen sind (bspw. Ver. 6.0x / W13) ist noch unbekannt (aber Modelle mit solch alten Versionen sollten eigentlich auch nicht mehr als Router verwendet werden).

• Edit (05.06.2023): Die 7360v2, 7390 und 7412 haben nun ein Update auf FRITZ!OS Ver. 6.88 erhalten. Somit geht das Problem (mindestens) bis auf C16 zurück.
• Edit (06.09.2023): Nun wurde auch für die 7360v1 ein Update veröffentlicht (Ver. 6.36), es geht also (mindestens) bis auf F14 zurück.
• Edit (09.09.2023): Bis zum 07.09.2023 hat AVM für alle FRITZ!Box-Modelle, für die zuvor bereits FRITZ!OS >=6.3x verfügbar war, ein Update zur Verfügung gestellt (von den alten "unfreien" Cable-Modellen aus der 63xx-Reihe mal abgesehen, da liegen mir keine Informationen vor). Die letzte Box war die 7330 SL, wo das Image 23:55 auf dem Server aufgetaucht ist.
• Edit (09.09.2023): Am 08.09.2023 hat AVM begonnen Updates für die FRITZ!Repeater zu veröffentlichen.
• Edit (11.09.2023): Von dieser Sicherheitslücke betroffen scheinen wohl alle FRITZ!OS Versionen >=6.1x bzw. 6.2x zu sein (6.1x = Inhaus-/Laborversionen für 6.2x bzw. Entwicklungszweig F14). FRITZ!OS Versionen <=6.0x (<=W13) sollen (bzw. besser sind vermutlich) nicht davon betroffen, weshalb es u.a. für die 7340, 7270v1/2/3 oder auch 7240 keine entsprechenden Updates geben wird.
• Edit (11.09.2023): Bei den FRITZ!OS Versionen <=6.5x soll ab Buildnumber 38807 38787 (Versionsverwaltung Subversion) das Problem behoben sein und ab FRITZ!OS Ver. >=6.8x ab Buildnumber 107809 (Versionsverwaltung Git).
• Edit: Am 12.09.2023 hat AVM damit begonnen Updates für die FRITZ!Powerline-Adapter zu veröffentlichen.
• Edit (24.09.2023): Am 22.09.2023 (nach fast drei Wochen) konnte AVM wohl für alle betroffenen Produkte ein Update bereitstellen (ausgenommen ggf. einige 63xx Cable-Modelle, die es offiziell nie als Retail-Modell gab und zu denen mir entspr. Informationen fehlen). Das letzte Gerät war das FRITZ!Smart Gateway welches am 22.09. das entspr. Update erhielt.
• Edit (24.09.2023): Beschreibung ergänzt/erweitert sowie Titel geändert/ergänzt.
• Edit (15.10.2023): Beschreibung ergänzt/erweitert (Zusammenfassung).

---

Bisher wurden folgende Updates für FRITZ!Boxen veröffentlicht, die das Problem wohl beheben sollen (Stand: 25.09.2023):

• 3272: Ver. 6.89 de / Ver. 6.88 int.
• 3370: Ver. 6.56 de / Ver. 6.54 int.
• 3390: Ver. 6.56 de / Ver. 6.54 int.
• 3490: Ver. 7.31

• 4020: Ver. 6.84 / Ver. 7.03
• 4040: Ver. 7.57
• 4060: Ver. 7.57

• 5490: Ver. 7.31
• 5491: Ver. 7.31
• 5530: Ver. 7.57 (04.09.2023) + Ver. 7.58 (08.09.2023, PPP Hotfix)
• 5590: Ver. 7.57 (04.09.2023) + Ver. 7.58 (12.09.2023, PPP Hotfix)

• 6430: Ver. 7.30
• 6490: Ver. 7.57
• 6590: Ver. 7.57
• 6591: Ver. 7.57
• 6660: Ver. 7.57
• 6690: Ver. 7.57

• 6810 LTE: Ver. 6.35 de / Ver. 6.35 int.
• 6820v1 LTE: Ver. 7.30
• 6820v2 LTE: Ver. 7.57
• 6820v3 LTE: Ver. 7.57
• 6840 LTE: Ver. 6.88 de / Ver. 6.88 int.
• 6842 LTE: Ver. 6.35 de
• 6850 LTE: Ver. 7.57
• 6850 5G: Ver. 7.57
• 6890 LTE: Ver. 7.57

• 7272: Ver. 6.89 de / Ver. 6.88 int.
• 7312: Ver. 6.56 de
• 7320: Ver. 6.35 de
• 7330: Ver. 6.56 de / Ver. 6.32 int.
• 7330 SL: Ver. 6.56 de
• 7360v1: Ver. 6.36 de / Ver. 6.34 int.
• 7360v2: Ver. 6.88 de / Ver. 6.88 int. / Ver. 6.53 int. (for Belgacom/Proximus)
• 7360 SL: Ver. 6.35 de / Ver. 6.32 int.
• 7362 SL: Ver. 7.14 de
• 7369: Ver. 6.34
• 7390: Ver. 6.88 de / Ver. 6.88 int.

• 7412: Ver. 6.88 de
• 7430: Ver. 7.31
• 7490: Ver. 7.57 (04.09.2023) + Ver. 7.57-108185 LabPLUS (25.09.2023, DNSSEC Hotfix)

• 7510: Ver. 7.57
• 7520 Typ A: Ver. 7.57
• 7520 Typ B: Ver. 7.57
• 7530: Ver. 7.57 (04.09.2023) + Ver. 7.57-108189 LabPLUS (25.09.2023, DNSSEC Hotfix)
• 7530 AX: Ver. 7.57
• 7560: Ver. 7.30
• 7580: Ver. 7.30
• 7581: Ver. 7.17
• 7582: Ver. 7.17
• 7583: Ver. 7.57
• 7583 VDSL: Ver. 7.57
• 7590: Ver. 7.57 (04.09.2023) + Ver. 7.57-108188 LabPLUS (25.09.2023, DNSSEC Hotfix)
• 7590 AX: Ver. 7.57

Folgende FRITZ!Box-Modelle scheinen noch kein Update erhalten zu haben (werden ggf. noch folgen, Stand: 20.09.2023):

• 6320v2: -
• 6360: -
• 7340: Für das letzte offizielle Stable-Release (Ver. 6.06) ist kein Update nötig (s.o.). Die Verwendung der letzten Labor-Version (Ver. 6.25-31838 BETA) ist dagegen nicht empfehlenswert, da darin die Lücke noch vorh. ist!

---

Folgende FRITZ!Repeater haben bisher ein Update erhalten (Stand: 20.09.2023):

• 300E: Ver. 6.34 de / Ver. 6.34 int.
• 310 A: Ver. 7.16
• 310 B: Ver. 7.16

• 450E: Ver. 7.15
• 1160: Ver. 7.15
• 1750E: Ver. 7.31
• DVB-C: Ver. 7.03. Hinweis: Die Verwendung der (inoffiziellen) Inhaus-Version 7.08-66669 kann nicht empfohlen werden, da darin die Lücke noch vorh. ist!

• 600v1: Ver. 7.57
• 600v2: Ver. 7.57
• 1200: Ver. 7.57
• 1200 AX: Ver. 07.31 / Ver. 7.57
• 2400: Ver. 7.57
• 3000: Ver. 7.57
• 3000 AX: Ver. 07.42 / Ver. 7.57
• 6000: Ver. 07.31 / Ver. 7.57

FRITZ!Smart Gateway (Stand: 26.09.2023):

• Ver. 7.57

---

Folgende FRITZ!Powerline haben bisher ein Update erhalten (Stand: 20.09.2023):

• 540E: Ver. 7.15
• 546E: Ver. 7.15 / Ver. 6.51 CE / Ver. 6.51 EN

• 1240E: Ver. 7.16
• 1240 AX: Ver. 7.57
• 1260E: Ver. 7.57
• 1260: Ver. 7.57

---

Edit 06.09.2023 - 23:36:

Spoiler: gepatchte Komponenten

Nach ein paar Firmware-Diffs kann man festhalten, das offenbar (nur) 2 Bibliotheken in den neuen Firmware-Versionen gepatcht wurden:

• /lib/libcmapi.so.1.0.0
• /lib/libwebsrv.so.2.0.0

Also offenbar eine Schwachstelle im Webserver bzw. der dazugehörigen Programmbibliothek. Normale Binaries (unter /bin, /sbin usw.) sind unverändert bzw. ggf. nur unterschiedlich aufgrund des neuen "CompileDate".

 

[Master SaMMy]

Da bin ich mal gespannt wie schnell dann die Boxen der Kabel anbieten das Update freigeben

 

[Grisu_]

Fehlt in deiner Liste noch folgende (auch wenn sie noch nicht fertig abgeschlossen ist).
Hier zum Vergleich meine Liste: https://www.lteforum.at/mobilfunk/fritz-os-inhouse-labor-release-versionen.16783/post-432716

Fritz!Box 6590: Ver 7.57

 

[oldmen]

Zitat zum Problem aus: https://forum-fibra-click.translate...de&_x_tr_hl=de&_x_tr_pto=wapp&_x_tr_hist=true

-In allen Fällen wurde festgestellt, dass der Fernzugriff auf die Benutzeroberfläche der FRITZ!Box über https aktiviert ist, wobei der bekannte https-Port 443 verwendet wird.
-In allen Fällen wurde dieser https-Zugang vom ISP zur Administration des Routers eingerichtet

 

[Master SaMMy]

Da waren sie aber gut beschäftigt am WE mit dem Bauen der FW

hm nun sind sie wieder raus

 

[Grisu_]

Und wo fände man die?
Welche 6820 meinst du, gibt ja derer 3.

 

[minibip]

Online Update über die Oberfläche funktioniert leider nicht. Bekomme eine Fehlermeldung auf der 7590

 

[Master SaMMy]

Ich denke mal das der Server überlastet ist. Einfach ein wenig warten

 

[tango501]

https://download.avm.de/fritzbox/fritzbox-6890-lte/deutschland/fritz.os/FRITZ.Box_6890_LTE-07.57.image

# Weitere Verbesserungen im FRITZ!OS 7.57
## System:
- **Behoben** Stabilität und Sicherheit erhöht

 

[megakeule]

Müsste mal jemand die Firmware Images vergleichen.... Gibt es PeterPawn hier eigentlich noch?

 

[Roboto]

das es im 7.1x Bereich verschiedene Versionen (7.14/7.17) mit diesem Fix gibt OK, aber was hat AVM geritten der 7560/7580 eine 7.30 statt wie allen anderen eine 7.31 zu geben? Macht das ganze ja nicht übersichtlicher.

 

[oldmen]

Es ist halt kein Funktionsupdate sondern nur ein (Not-) Sicherheitsupdate!

 

[Ralf-Fritz]

Die Fritz!Box 7430 ist direkt von 7.29 auf 7.31 gesprungen

 

[Roboto]

ist es ja bei den 7430/5490/5491 von 7.29 auf 7.31 gesprungen
Außer bei der 3490 da war es 7.30 > 7.31 da es dort schon ein 7.29 > 7.30 Bugfix (auch ohne "Funktionszuwachs") gab.
Daher macht die 7.30 für 7560/7580 ja eben keinen Sinn
Mal sehen was bei der 6430 und 6820v1 kommt, die haben ja auch "noch" 7.29

 

[Ralf-Fritz]

Update-News | AVM Deutschland

Hier finden Sie Informationen zu den kostenlosen Updates. Wählen Sie Ihr FRITZ!-Produkt aus und profitieren Sie von neuen Funktionen und Produkterweiterungen aus der AVM-Entwicklung.

avm.de

Fritz!Box 6490 bekommt Fritz!OS 7.57

 

[Peter_Lehmann]

Hier wurde mehrfach "geht nicht" geschrieben.

Ich habe heute am Nachmittag die Imagedatei für die 7590 heruntergeladen und danach auf 16 (i.W. sechzehn) 7590 hintereinander dieses Update installiert. (Ja, selbstverständlich über mein WireGuard-Netz). Und zum Schluss noch einmal (mit der integrierten "Herunterlade- und Updatemöglichkeit") für eine 7520.

Und: bei allen 17 F!B funktionierte das Update völlig problemlos.

@NDiIPP:
Zuerst einmal vielen Dank für deinen zusammenfassenden Beitrag!
Ich habe mir die Eigenmächtigkeit erlaubt, diesen im Kundenforum meines Providers zu verlinken. Hoffe mal, dass du mir dieses nicht allzu übel nimmst.

vy 73 de Peter

 

[FlyingToaster]

6890 LTE nach mehreren Versuchen und bei mehreren Boxen beim Online-Update:


Update:
Auch von https://ftp.avm.de nicht downloadbar (Telekom IPv4-APN).
Ich musste dann das Image per VPN auf den jeweiligen "Server" schieben und das Update per FRITZ!OS-Datei machen.

 

[Roboto]

Auch von https://ftp.avm.de nicht downloadbar (Telekom IPv4-APN).

https://download.avm.de gibt es auch noch und hat zumindest eine andere IP

 

[ugalla]

Server überlastet.
Einfach ein wenig Geduld.

 

[Roboto]

@NDiIPP

https://ftp.avm.de/fritzbox/fritzbox-6490-cable/deutschland/fritz.os/FRITZ.Box_6490_Cable-07.57.image

https://ftp.avm.de/fritzbox/fritzbox-7583-vdsl/deutschland/fritz.os/FRITZ.Box_7583_VDSL-07.57.image