AVM: Kritische Schwachstelle macht Fritzbox-Router angreifbar
AVM hat Anfang September Sicherheitspatches für zahlreiche Fritzbox- und Repeater-Modelle zur Verfügung gestellt. Zuvor konnten auch AVM-Geräte mit deaktiviertem Fernzugriff über eine kompromittierte Webseite angegriffen werden.
Die AVM Computersysteme Vertriebs GmbH ist ein deutscher Hersteller von Netzwerkhardware, der vor allem für seine Fritzbox-Router bekannt ist. Anfang September verteilte AVM "notwendige Stabilitäts- und Sicherheitsupdates", wie Heise Online berichtete. Selbst fast 15 Jahre alte Geräte wie die Fritzbox 7390 wurden von dem Berliner Hardware-Produzenten mit Sicherheitspatches versehen.
Trotz abgeschaltetem Fernzugriff war Angriff möglich
Die Patchnotes von FritzOS mit der Versionsnummer 7.57 vom 4. September 2023 sprechen lediglich von einem Sicherheitsupdate und versprechen, dass "Details [...] zu einem späteren Zeitpunkt veröffentlicht" werden. Bei der gepatchten Schwachstelle soll es sich aber laut Golem um eine Sicherheitslücke im Webserver AVM-Geräte handeln.
Für den Angriff genügt eine kompromittierte Webseite, die den Benutzer auf das Webinterface der Fritzbox im eigenen Netzwerk umleitet. Auch ein Passwort bietet hier keinen Schutz, da die Schwachstelle im Webserver auch ohne Passwort ausgenutzt werden kann. So könnten Angreifer theoretisch die Konfiguration von Fritzbox-Routern überschreiben, auch wenn der Fernzugriff auf den Geräten deaktiviert ist.
Update auf Version 7.57 schließt die kritische Sicherheitslücke
Genauere Details zu dieser Schwachstelle in AVM-Geräten werden aus Sicherheitsgründen verständlicherweise nicht erläutert. Anwendern von Fritzbox-Routern wird jedoch eine Überprüfung über das Webinterface der Fritzbox empfohlen, das standardmäßig über die URL "fritz.box" im Browser aufgerufen werden kann. Mit FritzOS 7.57 wurde die Sicherheitslücke geschlossen.
Allerdings folgt der Hardwarehersteller AVM hier keinem einheitlichen Schema: Während die Lücke im aktuellen FritzOS 7.57 geschlossen ist, erhalten ältere Geräte das Sicherheitsupdate mit anderen Versionsnummern, beispielsweise 6.56 oder 7.31. Zudem sind nicht nur die Fritzboxen, sondern auch die Repeater des Berliner Unternehmens von der Sicherheitslücke betroffen.
Quelle: Heise Online via Golem
Nur das S10 Lite bekommt noch quartalsmäßige Sicherheitsupdates. Da bleibt dir wohl nur ein Custom-ROM...
Erinnerst du dich noch an den TPM 2.0-Aufschrei der mit Einführung von Windows 11 durchs Netz ging? Du hast eine Intel-CPU der 6th oder 7th Gen? Vergiss es! Du weist genau woran du bist... Und Windows 10 hat dir das auch direkt ins Gesicht gedrückt:
[Ins Forum, um diesen Inhalt zu sehen]
Dieses "In your Face" hat viele genervt... Und zum Glück endet der Support von Windows 10 erst im Oktober 2025. Aber so eine Meldung bei Android und Co. würde ich auch begrüßen. Zumindest wenn die Geräte keine Sicherheitsupdates mehr bekommen. Wäre dem Endverbraucher gegenüber zumindest fairer als wie es jetzt läuft...
D.h. auf Kanälen wie Heise Security, Born City, Reddit etc. schlägt die News auf, aber bis die Mainstreammedien die oftmals extrem wichtigen Lücken auf ihren Seiten bringen, vergeht eine Menge an Zeit. Vom Fernsehen und Radio ganz zu schweigen. Und mit schlechter Kommunikation ist auch gemeint, das Details seitens der Hersteller oftmals gar nicht genannt werden. Gab es eine offizielle Info seitens AVM dazu, da auch User mit deaktivierten Fernzugriff betroffen sind? Nein... Im Umkehrschluss haben sich viele welche den Fernzugriff abgeschalten haben, in trügerischer Sicherheit vermutet. Ähnliches konnte man damals auch bei Mircrosoft und dem Cloud-Hack in diesem Sommer beobachten. Diese Art der Kommunikation ist in der heutigen Zeit einfach ungenügend.
Zurück zu AVM: Die News über die wir hier diskutieren ist drei Tage alt und nicht mal das BSI hat seine Meldung angepasst... Nuff said! :/
Android ist genau so wichtig wie iOS, Windows oder Linux. Nur hast du bei Android eine etwas speziellere Situation. Die Smartphone-Hersteller veröffentlichen nicht an Tag X alle gleichzeitig ihre Updates und die Vielzahl der Geräte erschlägt einen regelrecht. Das ist meiner Meinung nach eines der größten Probleme von Android! Willst du die Updates so früh wie möglich, dann musst du zu Google Pixel Geräten greifen. Bei den anderen Herstellern ist´s ein Glücksspiel. Die einen veröffentlichen Sicherheitsupdates nur alle 2-4 Monate, andere wiederum nur halbjährlich. Das liegt einfach an der extremen Menge der Geräte. So einen Zirkus hast du zum Beispiel bei Apple oder Microsoft nicht. Microsoft hat seine Patchdays und Apple hat eine so überschaubare Anzahl an Geräten auf den Markt, das es sich sehr gut koordinieren lässt, wann die Updates genau erscheinen.
Könnte Google als Vater von Android, das ändern? Klar, ohne Probleme... Wollen Sie das? Zum Teil... Immerhin haben sie die Hersteller in die Pflicht genommen bis zum Jahr X Sicherheitsupdates bereitzustellen. Das war früher auch anders. Aber gut finde ich es dennoch nicht gelöst. Da geht noch mehr!
Ebenfalls wild ist es, das Geräte die EOL sind, in Fachmärkten etc. immer noch erworben werden können. Ist einer Arbeitskollegin von mir so ergangen. Bist du technisch versiert dann weißt du worauf du dich beim Kauf einlässt, oder hast ein bestimmtes Ziel (Custom-ROM). Aber als Laie oder 08/15-User stehst du im Regen....
DAS ist Mist! Das Gerät ist von 2019. Ich habe fast 1000 € bezahlt un bekomme gerade mal 3 Jahre Unterstützung. Es ist aus meiner Sicht GEWOLLT, dass Handy's gehackt werden, damit Kunden ständig gezwungen sind, neue zu kaufen. Scheiß Politik / Firmenpolitik!
D.h. auf Kanälen wie Heise Security, Born City, Reddit etc. schlägt die News auf, aber bis die Mainstreammedien die oftmals extrem wichtigen Lücken auf ihren Seiten bringen, vergeht eine Menge an Zeit. Vom Fernsehen und Radio ganz zu schweigen. Und mit schlechter Kommunikation ist auch gemeint, das Details seitens der Hersteller oftmals gar nicht genannt werden. Gab es eine offizielle Info seitens AVM dazu, da auch User mit deaktivierten Fernzugriff betroffen sind? Nein... Im Umkehrschluss haben sich viele welche den Fernzugriff abgeschalten haben, in trügerischer Sicherheit vermutet. Ähnliches konnte man damals auch bei Mircrosoft und dem Cloud-Hack in diesem Sommer beobachten. Diese Art der Kommunikation ist in der heutigen Zeit einfach ungenügend.
Zurück zu AVM: Die News über die wir hier diskutieren ist drei Tage alt und nicht mal das BSI hat seine Meldung angepasst... Nuff said! :/
AVM ist für mich immer noch der vertrauenswürdigste Hersteller und ich setze seit vielen Jahren auf deren Hardware.
Könnte Google als Vater von Android, das ändern? Klar, ohne Probleme... Wollen Sie das? Zum Teil... Immerhin haben sie die Hersteller in die Pflicht genommen bis zum Jahr X Sicherheitsupdates bereitzustellen. Das war früher auch anders. Aber gut finde ich es dennoch nicht gelöst. Da geht noch mehr!
Ebenfalls wild ist es, das Geräte die EOL sind, in Fachmärkten etc. immer noch erworben werden können. Ist einer Arbeitskollegin von mir so ergangen. Bist du technisch versiert dann weißt du worauf du dich beim Kauf einlässt, oder hast ein bestimmtes Ziel (Custom-ROM). Aber als Laie oder 08/15-User stehst du im Regen....
Dass man auf jede Fritzbox ohne Passwort trotz Firewall per Remote zugreifen und das Netzwerk übernehmen kann?
Dass man sein NAS auch direkt ins Netz hängen kann, wenn man nicht sofort ein Update macht?
Wenn man ehrlich über seine Lücken berichtet, hat das gar nichts damit zu tun, sie Hackern offenzulegen, weil die über ihre Kanäle schon längst wissen, dass sie existiert und laut Heise wurde die Lücke schon aktiv genutzt als das Update raus kam. Der einzige, der nicht die ganze Wahrheit kannte, war der Kunde, der unter Umständen noch tagelang ein offenes Loch im Router hatte, bis das automatische Update bei ihm ausgerollt wurde.
Und wenn der in einer Firma sitzt und eine Risikoabschätzung zu jeder Lücke machen soll, kann er nicht einmal seine Arbeit machen. Natürlich sollte man als Firma keine Plastikrouter einsetzen, aber hierzulande wird man ja quasi dazu gezwungen, wenn man einen anständigen Support von seinem Internet Service Provider haben will. (OK - Zugegeben hat natürlich jede Firma, in der es mindestens einen Intelligenten gibt, eine Kaskade aus mindestens 2 verschiedenen Firewalls, sodass man hinter der Fritzbox noch nichts im Firmennetzwerk anstellen kann. Aber das Internet trennen kann man natürlich trotzdem und dann ist in der Firma quasi das Licht ausgeknipst.)
Leider kann man sich aufgrund der Aggressivität das Forum dort nicht antun.
Die/Das Heise Forum war schon immer speziell, das gehört da aber dazu bzw. ist halt so...
Trolle gehören einfach zu "guten Ton", aber es regt sich auch keiner drüber auf...
Einfach 80-90% der Beiträge ignorieren dann geht es ganz gut, bzw. einfach drüber lachen...