Sicherheitslücke in Fritz!Box-Routern größer als angenommen (Update)

homann5

Semiprofi
Thread Starter
Mitglied seit
10.10.2007
Beiträge
2.427
<p><img src="/images/stories/logos-2013/avm.jpg" width="100" height="100" alt="avm" style="margin: 10px; float: left;" />Die von <a href="http://www.avm.de" target="_blank">AVM</a> Anfang des Monats publik gemachte <a href="index.php/news/allgemein/wirtschaft/29695-avm-warnt-vor-mutmasslichem-telefonmissbrauch.html" target="_self">Sicherheitslücke in Fritz!Box-Routern</a> ist größer, als bislang angenommen wurde. Konnten Angreifer dem Berliner Unternehmen zufolge lediglich über die Fernzugriffsfunktion unbefugten Zugang zur Fritz!Box erlangen, soll dies laut heise Security auch auf einem anderen Weg möglich sein.</p>
<p>Denn gemeinsam mit dem Reverse-Engineering-Spezialisten Hanno Heinrichs konnte man herausfinden, dass schon der Aufruf einer manipulierten Webseite mit einem PC...<br /><br /><a href="/index.php/news/hardware/netzwerk/29861-sicherheitsluecke-in-fritzbox-routern-groesser-als-angenommen.html" style="font-weight:bold;">... weiterlesen</a></p>
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wissen werden es einige, nur verraten tun diese es nciht.
"Der Kluge kann Dumm tun, der Dumme kann aber nciht Klug tun".(Vereinfacht für HWLuxxer)
 
Einfach nur herrlich. Teilweise groteske Züge nehmen dann die Rufe derjenigen an, die zwar im Ansatz ein Sicherheitsbewusstsein entwickeln, sich aber nicht von ihrer "monolithischen Blackbox" trennen können.

"Suche sicheren Router, darf auch etwas kosten, muss aber haben: VDSL, Telefon, Gigabit-Switch, gutes WLAN, ..."

Man sieht das Licht quasi aufgehen, dann aber sofort wieder erlöschen. Kleiner Tipp: alles in eine Box stopfen ist _Scheiße_. Man besorge sich ein DSL-Modem, einen Router mit einer quelloffenen Firmware (oder gleich komplett self-made mit BSD/Linux), einen guten Switch und fertig. Für WLAN und Telefon gibt es auch jeweils optimale Geräte, die man lange behalten kann, auch wenn man das DSL-Modem upgradet oder den Router. Die Leute wollen teilweise echt hunderte von Euro für eine Kiste ausgeben, dabei sind die einzelnen Komponenten nicht mal viel teurer. Und das bisschen Stromverbrauch sollte einem die Sicherheit schon wert sein.

Edit: Und wenn die Sicherheit nicht gegen die Ästhetik im bürgerlichen Wohnzimmer auftrumpfen kann, sollte man auch nicht rumheulen, wenn einem der Plasterouter gehackt wird. Zu verbergen hat man doch eh nichts, also ist doch alles halb so schlimm.
 
Zuletzt bearbeitet:
Ich weiß nicht wie du zu deiner aussage kommst, ist doch letztlich bei mehreren geräten, mehrmals eine mögliche Anfälligkeit gegeben und damit eine höhere warscheinlichkeit. In summe ist dieses Konstrukt dann auch komplexer, das was wirklich dafür spricht ist die modularität aber mit sicherheit nicht der punkt Sicherheit

und zu deinem "quelloffenen firmwares" passiert sowas oder ähnliches nicht
Botnetz befällt Router mit offener Software DD-WRT - futurezone.at
und das "vernünftige" Switche keine sicherheitslücken haben ist wohl auch mehr traum denn Realität
Modems dasselbe aber hier kann man oft nicht mal irgendwas machen selbst wenn der Hersteller patches bereitstellen würde

Die Reaktion von AVM ist jedenfalls nicht unprofessionell oder wirklich schlecht, die Kommunikation war/ist etwas mager aber die Reaktion war tadellos mit einer schnellen Bereitstellung eines fixes

@News
"Letzten Berichten zufolge soll es sich allein bei Kabel Deutschland um eine Zahl im mittleren dreistelligen Bereich handeln." fände ich jetzt wirklich wenig ;)
 
Zuletzt bearbeitet:
Was hat das mit der Sicherheitslücke zu tun? GAR NIX.
Dein System kann genau unterwandert werden, kostet Ähnlich viel Geld, verbraucht deutlich mehr Strom und setzt ein sehr solides Grundwissen für PCs vorraus.
Die Vorteile sucht man mit der Lupe... .
 
einen Router mit einer quelloffenen Firmware

Bei dem gerade aktuellen Wurm "The Moon" der sich bei den Linksys E-Modellen gerade selbst verbreitet ist auch die Firmware OpenWRT in Version 2.0.06 betroffen. Auch bei älteren Angriffen waren rein zufällig auch immer teils die quelloffenen Firmware Versionen betroffen. Bei OpenWRT und wie sie alle heißen stopft man doch auch nur noch immer mehr Funktionen rein und tweakt hier und da. Das Suchen von Lücken dürfte da auch ganz hinten in der Prioritäten-Liste stehen.


Im Falle von AVM freue ich mich aber um so mehr das diese ein Mega Scheunentor in ihrer Firmware haben nach dem ganzen Fanboy gelaber aller ihre "Made in Germany Box" sei sicher, schon bei der ersten News dazu von wegen die Zugangsdaten wären aus einer gehackten Datenbank und wären rein zufällig die gleichen wie die User auf ihrer Box verwenden hatte ich schon einen Lachanfall bekommen. Selbst AVM hat doch erst mal ganz offiziell den Schuldigen als den dummen User hingestellt der bei X Geräten und Konten immer und immer wieder die gleichen Zugangsdaten verwendet. Jetzt wo raußkommt wer der einzige Verursacher ist und welche Größe die Lücke hat wird´s wieder still bei AVM und den Fanboys.
 
@TCM: Sinnloses gebache mal wieder? Warum forderst du nicht gleich, das alle Menschen, die sich nicht mit PCs auskennen hingerichtet werden? Würde die allgemeine Sicherheit im Netz jedenfalls mehr erhöhen als dein jetziger Vorschlag ....
 
Ich weiß nicht wie du zu deiner aussage kommst, ist doch letztlich bei mehreren geräten, mehrmals eine mögliche Anfälligkeit gegeben und damit eine höhere warscheinlichkeit. In summe ist dieses Konstrukt dann auch komplexer, das was wirklich dafür spricht ist die modularität aber mit sicherheit nicht der punkt Sicherheit

"layered security" schonmal gehört? Die Chance, dass in allen Komponenten gleichzeitig eine Lücke ist, ist nicht höher. Wie kommst du darauf? Bei der alles-in-einem-Kiste hast du mit einer Lücke den Jackpot. Komplexer ist es auch nicht, weil du Komponenten hast, die eine Sache richtig machen, anstatt 10 Sachen halbgar.

Klar, der Wartungsaufwand steigt und etwas Ahnung sollte man auch haben, aber wer da keinen Sicherheitsgewinn sieht, der versteht es einfach nicht. Auch das "Problem" mit den alternativen Firmwares besteht letztendlich darin, dass vom User planlos was zusammengeklickt wird und allemöglichen Dienste angeschaltet werden. Wenn ich am Router keine USB-Ports nutze, weil das einfach mal ne blöde Idee ist, dann brauche ich auch die entsprechende Komponente nicht aktivieren. Wenn ich den Router einrichte und danach das Webinterface per SSH abschalte, dann kann mir auch kein Wurm darüber einfallen etc.pp.

Ich habe nicht gesagt, dass DD-WRT und so fehlerfrei sind. Sie erleichtern es aber ungemein, best practices umzusetzen. Dazu sollte man erstmal wissen, was best practices sind. Bei mir selbst läuft an alternativen Firmwares nur OpenWrt auf dem WLAN-AP, dort aber mit getrenntem Management-Interface und ohne IP-Adresse auf der WLAN-Bridge. Da besteht nicht mal bei einer Lücke im IP-Stack die Möglichkeit, übers WLAN auf den AP zu kommen. Dazu müsste schon der Bridge-Code fehlerhaft sein. Sowas kriegt man mit keiner einzigen Standard-Firmware hin, außer vielleicht 10x so teure Cisco-Kisten, wo man dann wieder auf Closed Source baut. Mein Hauptrouter läuft mit OpenBSD mit keinem einzigen netzwerkaktivem Dienst.

Aber so ist das halt, wer keine Ahnung hat und nicht mal layered security versteht, nimmt Plasterouter und wird dann halt geownt.

@TCM: Sinnloses gebache mal wieder? Warum forderst du nicht gleich, das alle Menschen, die sich nicht mit PCs auskennen hingerichtet werden? Würde die allgemeine Sicherheit im Netz jedenfalls mehr erhöhen als dein jetziger Vorschlag ....

Wieso? Die 0815-User sind ja nicht mal angesprochen gewesen.
 
Zuletzt bearbeitet:
TCM, wenn du keine Ahnung hast, dann tu bitte nicht so als ob du welche hättest ;).
 
Das ist ja ganz nett, aber geht völlig an der Realität vorbei.
Weit über 90% der Bsitzer von Internetroutern wie der Fritzbox hat absolut gar keine Ahnung von EDV und will sich damit auch gar nicht auseinandersetzen.
Die wollen ein Gerät, stöpseln da 2 Kabel rein, tragen due Zugangsdaten ein und dann muß das Ding funktionieren.
Wenn nicht, landet es in der Tonne und wird als "komplizierter Schrott" betitelt.
Und die Fritzboxen adressieren genau diese Kundengruppe.
Und Profis gehen dann auf teure Security-Lösungen von z.B. Cisco, SonicWall etc. etc.

Und das es in den Fritzboxen eine zweite Sicherheitslücke gegeben hat:
Das AVM das nicht in die Öffentlichkeit hinausposaunt hat, ist völlig normal, würde niemand tun.
Wichtiger ist da, das AVM diese Sicherheitslücke mit der neuen FW-Version ebenfalls geschlossen hat.
Und löblich ist auch die sehr schnelle Reaktion seitens AVM.
Die haben die neuen FW-Versionen noch während des Wochenendes ausgeliefert, anstatt, wie bei vielen anderen Firmen sicherlich üblich, bis Montag (oder bis zum nächsten regulären Patchday) zu warten.
Da hat sicher der ein oder andere AVM-Programmierer eine Extra Wochenendschicht eingelegt.
 
Zuletzt bearbeitet:
Jetz mal alle ruhig durch die Hose atmen.
meine 3370 läuft immernoch auf 5.51 und wirds weiterhin tun.
Des is mal wieder Titanic-Panic hier.
Mich wundert eh das solche Vorfälle erst ab Version 6.0 ans Licht gebracht werden.
Das gleiche mit den Emails vor nem Monat.man verrät nicht in welchem botnet sie gefunden wurde.
zum jetzigen Update, meiner Meinung hat das letzte Update die jetzige Sicherheitslücke entstehen lassen.so klingts danach.
und btw hätte der hacker viel Arbeit mich auf seine Seite zu locken.da ich über Email keine Seiten aufrufe.

und wer im Urlaub ist.und die News nicht mitbekommt?
Ausserdem wenn man up to date sein will mittels automatischen Updates.muss ja in gewisser Weise einen fernzugriff zulassen.und genau dieser verursacht ja das Dilemma.schon paradox.
Ich muss nicht das inet sicherer machen.dafür sind andere zuständlich.zur Zeit werden wir in watte gepackt, da niemand schuld sein will.

Gesendet von meinem GT-I9300 mit der Hardwareluxx App
 
AVM hat relativ schnell reagiert, das muss man ihnen zu Gute halten.

Allerdings (aus der heise-Meldung):
"... Administrations-Passwort der Fritzbox auch viele andere sensible Daten im Klartext ..."


Ich bin entsetzt, dass bei AVM so amateurhafte Laienprogrammierer arbeiten, die nicht wissen, dass man NIEMALS ein Passwort im Klartext abspeichert (sondern seinen Hash-Wert, am besten "gesalzen").

Unfassbar !

:fire: :fire: :fire:
 
@Gribasu:

Vielleicht solltest du die News mal genauer verfolgen.

- Die Lücke besteht schon ewig, die ganze Produktpalette ist betroffen!
- AVM hat selbst für EOL Geräte wie die 7170 ein Update gebracht
- Das Problem besteht nicht nur bei aktiviertem Fernzugriff, der exploit lässt sich immer nutzen (mittels manipulierter Webseite).
- Wieso Email? Du musst nur eine manipulierte Seite ansurfen und es gab schon oft genug seriöse Seiten, die nicht nur das auslieferten, was sie sollten.
- Für automatisierte Updates braucht man keinen Fernzugriff. AVM ermöglicht einem in neueren FW Versionen automatische Updates zu aktivieren. Dann schaut die Box einfach von Zeit zu Zeit auf die AVM Server und lädt sich die FW selbst herunter, so wie dein Firefox o.Ä. auch seine Updates macht.

TR069 bei Providerkisten ist wieder eine andere Geschichte, lässt sich aber deaktivieren (auch wenn es in der GUI ausgeblendet wird, schaltet man es in der tr069.cfg mit einem guimode = guimode_visible; eben wieder an.)


@awehring:

Sie speichern es nicht im Klartext, wenn du aber root bist, hilft das auch nicht. Weil du dann aus dem Kauderwelch einfach wieder Klartext machen kannst (allcfgconv).
 
Zuletzt bearbeitet:
Genauso ist es.
Selbst bei der 7141, für die es nicht einmal die 5er FW gibt, gibts eine FW-Update auf 4.77.
Und für die Fritzboxen, für die es keine 6er FW gibt, gibts die FW 5.54.
Die Lücke betrifft daher ALLE Fritzboxen, die keine aktuelle FW drauf haben.
Auch die 3370 mit der FW 5.51 hat diese Lücke!
 
so mal aktualisiert,irgendwie fehlen einige optionen oder kommts nur mir so vor. snyc vorher 10300 jez 9800 ,wensn stabil läuft und keine crc fehler auftreten,isses ok.
 
Sollten nun eher mehr, als weniger sein. :) Zwecks Sync kannst du ja mal auf den alten DSL Treiber wechseln. Je nach Linecard läuft der nach wie vor besser. ;)
 
Gab es denn überhaupt für die FritzBox 7240 ein Update? Aktuell ist die Firmware-Version 73.05.54 installiert.
Falls dies die aktuelle Version sein sollte, warum wurde diese automatisch aufgespielt? Früher konnte ich das noch selber entscheiden.
 
@awehring:

Sie speichern es [das Passwort] nicht im Klartext, wenn du aber root bist, hilft das auch nicht. Weil du dann aus dem Kauderwelch einfach wieder Klartext machen kannst (allcfgconv).

Eben. Genau das ist das Problem, dass AVM so amateurhaft arbeitet.

aus Allcfgconv - Fritz!Box :

Beispiele

Gesamte Konfiguration mit nicht verschlüsseltem Passwort in /var/tmp/config schreiben:
allcfgconv -C ar7 -c -o /var/tmp/config



Es ist schlicht und einfach höchst dilletantisch, wenn Passwörter so gespeichert werden, dass sie im Klartext zugänglich sind, wie AVM das macht.

Zum "Stand der Technik" gehört seit ein paar Jahrzehnten, dass Passwörter NIEMALS im Klartext (oder rekonstruierbar) gespeichert werden sollen. Sondern deren kryptografischer Hash-Wert, z. B. als SHA-256. Noch besser in der "gesalzenen" Variante. Linux und Windows (seit Vista) machen das übrigens genau so.



Übrigens hat AVM auf meine diesbezügliche Beschwerde folgendermassen geantwortet:

vielen Dank für Ihre Anfrage an den AVM-Support.

[ ... ]

Ich habe aber Ihre Anregung das Speicherkonzept der Kennwörter zu prüfen und zu überarbeiten, an die zuständigen Mitarbeiter weitergeleitet.

Immerhin räumen sie damit mehr oder weniger ein, dass sie Mist gebaut haben und das verbessern wollen.
 
Zuletzt bearbeitet:
Hab geupgradet und jetzt die neue Firmware 6.03 drauf und sehe das die Sync schlechter ist (dürfte mit diesen Problem nicht alleine sein).

Wenn ich jetzt den alten DSL Treiber aktiviere, wird dann von der letzten Firmware Version (6.01) der Treiber aktiviert oder welcher ist damit gemeint?
 
@awehring:

Das ist eher eine Standardantwort von AVM. Ich bezweifle, dass da nun was passiert - leider.
 
Falls jemand eine o2 Version der Fritz Box 7270 (v3) nutzt und sich die Box noch nicht selbst aktualisiert hat, kann er sich hier ein Firmware Update von o2 runterladen und das Update manuell anstoßen:

AVM-Geräte (FRITZ!Box) Sicherheitshinweis - ... - o2 Hilfe

Ich habe es gerade aufgespielt. Es klappte wunderbar, nur das Router- und WLAN-Passwort musste ich danach neu einrichten. Der Rest hat sich wie üblich selbst konfiguriert.
 
Zuletzt bearbeitet:
@chau
was heisst schlechter ? bei mir sinds 500kbit weniger (von 10300 auf 9800) also kein weltuntergang.Dafür hatte ich jetz in 24std einmalig 36 crc fehler.Vorher warn se alle 2std mal bei 4 mrd oder so ,also eine utopische zahl.
Wieviel unterschied ists denn bei dir ? Und wie kriegt man die fuck kindersicherung raus ? ich mein hab da eh nix eingestellt und alle läuft auf unbeschränkt,aber es nervt irgendwie im Hauptbild zu lesen,kindersicherung aktiv.
 
@Gribasu

Ja hast recht es sind zwar auch nur 400kbits weniger, aber irgendwie musste ich erst paar mal Synchronisieren, damit ich die gewünschte Bandbreite habe. Das war sonst nicht.

Kindersicherung aktiv muss man wohl mit leben, jedenfalls konnte ich nichts finden wie man das deaktiviert.
 
Hier sind es 800kbit weniger, das ist schon bitter wenn man davor schon nur 5300kbit hatte.
Wird das noch von AVM gefixt?
 
@ro8otron

Stimmt 800kbit sind immerhin ca. 100 kilobyte, also macht sich schon bemerkbar. Man kann ja den alten DSL Treiber verwenden, aber damit hab ich keine Erfahrung.
 
Ich habe mir den SternTV Bericht angeschaut und dort wird davon berichtet, dass quasi ALLE Boxen injecttion-anfaellig sind.

Dabei wird die ar7.cfg samt unverschluesseltem Passwort an den Angreifer gesendet. Der 'Computer-Profi' Meinte dass man sich nun auf die Box einloggen kann.
Doch wie soll das gehen, wenn ich jeglichen Fernzugang deaktiviert habe? Ich mein - okay - der Angreifer besitzt meine IP + das 'root' kennwort meiner Fritz, trotzdem sollte es wertlos sein oder
taeusch ich mich da grad (Sofern meine Box up2date ist!)?

Grueße

[edit]
Ganz wichtig sollte auf jeden fall sein, TELNET auf den boxen zu deaktieren, falls man das manuell gemacht hat!
[/edit]
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh