- Anzeige -

Fritzbox OS 6.0 Rollout ab 13.1.2014

In diesem Forum geht es um die Router für Kabel Internet FRITZ!Box 6320, FRITZ!Box 6340, FRITZ!Box 6360 und FRITZ!Box 6490 der Firma AVM.

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitragvon hajodele » 14.02.2014, 14:43

marty7 hat geschrieben:
hajodele hat geschrieben:
- Einen gleichlautenden Sperrantrag habe ich auch an Kabelbw gestellt. Ich weiß allerdings nicht, wie lange die brauchen.


Dauert bis zu 2.Std.Bei mir hatte es 1/2 Std gedauert.Kannst du im Kundencenter einsehen :zwinker:

Aber doch nicht in Kabelbw-Land - da gilt
1. no net hudle (nicht so schnell) - mir wurde was von 1-2 Tagen erzählt.
2. bloss gschwätzt (nur mündlich) - unser Kundencenter dient mehr oder weniger nur der Rechnungspflege und die wollen mir das nichtmal bestätigen.
hajodele
Kabelkopfstation
 
Beiträge: 3953
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitragvon johnripper » 14.02.2014, 14:44

SpaceRat hat geschrieben:Bei der 6360 wird's die 06.03 eben intern schon gegeben haben, so daß hier eine 06.04 rauskam.
Die o.g. 6340 hingegen hatte entsprechend vorher keine 6.03, so daß die gefixte Version hier wie bei den DSL-Fritten die 06.03 ist.

Offensichtlich aber nur für Kabel Deutschland. Die rollen eine 6.04 aus, während KBW die 6.03 (die es gem. dem PDF nicht gibt) ausrollt.

SpaceRat hat geschrieben:Port-Scans von 1 bis 65535 über riesige IP-Ranges hinweg halte ich für zu aufwendig.

Aufwendig ist das nicht. Es ist aber noch einfacher nur 443 zu scannen (im Moment). Die Wahrscheinlichkeit dass ein FB auf einen anderen wie den 443 Port läuft ist wahrscheinlich viel geringer wie die Wahrscheinlichkeit, dass auf einer anderen IP eine FB mit offenem Port 443 läuft.
Aus dem Grund sind m.E. auch so viele Kabelkunden betroffen:
- Kleine IP Netze die relativ dicht belegt sind.
- Viele Privatkunden, keine großen Bereiche mit statischen IPs und professionellen Serverfarmen wie vielleicht bei der Telekom/T-Systems.
- Viele Fritzboxen als Modem/Router
- Rel. statische IPs.

Auch hier. Die Wahrscheinlichkeit dort eine FB zu treffen ist einfach höher wie bei anderen Providern.

Und den Port von 443 abweichend zu wählen: Sankt-Florian-Prinzip : )
Office & Internet 150 @ Fritz!Box 6490, OS 6.50
johnripper
Übergeordneter Verstärkerpunkt
 
Beiträge: 834
Registriert: 06.02.2014, 20:29
Wohnort: Kabelbw-Land

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitragvon SpaceRat » 14.02.2014, 14:51

marty7 hat geschrieben:
SpaceRat hat geschrieben:Ich wohne hier so nah an der Grenze, daß ich mir auch eine KPN-SIM-Karte zulegen könnte und damit Netz hätte. Da hat man dann eben auch Kollegen und Bekannte, die in Belgien oder den Niederlanden wohnen.
Was hast du den für ein Netzbetreiber? Selbst wenn ich über die Grenze fahre habe ich noch DE Netz.Da muß ich schon weit nach Holland rein fahren das es auf NL wechselt :D

Ich habe nicht gesagt, daß ich mein Heimatnetz nicht reinkriege, immerhin habe ich ja kein E- oder D/2 sondern o2.
Ich habe lediglich gesagt, daß ich hier auch mit einer KPN-Karte (Heimat-)Netz hätte.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitragvon johnripper » 14.02.2014, 14:59

Office & Internet 150 @ Fritz!Box 6490, OS 6.50
johnripper
Übergeordneter Verstärkerpunkt
 
Beiträge: 834
Registriert: 06.02.2014, 20:29
Wohnort: Kabelbw-Land

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitragvon SpaceRat » 14.02.2014, 16:06

johnripper hat geschrieben:
SpaceRat hat geschrieben:Bei der 6360 wird's die 06.03 eben intern schon gegeben haben, so daß hier eine 06.04 rauskam.
Die o.g. 6340 hingegen hatte entsprechend vorher keine 6.03, so daß die gefixte Version hier wie bei den DSL-Fritten die 06.03 ist.

Offensichtlich aber nur für Kabel Deutschland. Die rollen eine 6.04 aus, während KBW die 6.03 (die es gem. dem PDF nicht gibt) ausrollt.

Wenn Du den zitierten Text stehen gelassen oder zumindest gelesen hättest, hättest Du das 6340 erblickt.
Für die ist gar keine Recovery-Firmware im Netz aufgetaucht, zumindest nicht daß ich wüßte.
Logisch also, daß das Changelog der 6360 nicht so recht passen will, wenn wir von einer ganz anderen Box reden.

johnripper hat geschrieben:
SpaceRat hat geschrieben:Port-Scans von 1 bis 65535 über riesige IP-Ranges hinweg halte ich für zu aufwendig.

Aufwendig ist das nicht.

Natürlich ist es das:

Ich habe dazu gerade mal einen Komplettscan bei einem Freund durchgeführt.
nmap hat geschrieben:Completed SYN Stealth Scan at 14:07, 269.10s elapsed (65535 total ports)

Das sind etwa 4,5 Minuten, d.h. bevor Du 1000 Hosts gescannt hast, bist Du mehr als 3 Tage älter.

Willst Du bereits durch nmap sicherstellen, welcher der offenen Ports der richtige für
nmap hat geschrieben:xxxxx/tcp open ssl/http FRITZ!Box http config

ist, kommt noch ein Service-Scan hinzu.

Probierst Du es hingegen direkt mit einem einzigen Port (Also 443), dann bist Du bei einem Nichttreffer nach <20 Sekunden und bei einem Treffer nach <60 Sekunden durch (Inkl. der Identifikation des offenen Ports als tatsächlicher Fritz!Box-Fernzugriff!).
Damit hätte man nur noch zwischen gut 5h und ca. 16,5h gebraucht.

Für die 8 möglichen Ports (443-450) aus älteren Firmwares, wobei eben viele Fritz!Boxen gewohnheitsmäßig noch auf einem davon konfiguriert sein werden, braucht man nur unwesentlich länger als für einen.

johnripper hat geschrieben:Es ist aber noch einfacher nur 443 zu scannen (im Moment). Die Wahrscheinlichkeit dass ein FB auf einen anderen wie den 443 Port läuft ist wahrscheinlich viel geringer wie die Wahrscheinlichkeit, dass auf einer anderen IP eine FB mit offenem Port 443 läuft.

1. als.
2. Ganz genau. St.-Florian-Prinzip nennt man das.

Solange ich binnen 3,5 Tagen zwischen 16800 (Nieten) und 5000 (Alles Treffer!) Boxen abklappern kann und damit genug Opfer finde, begnüge ich mich nicht mit 1000 (Treffer und Nieten).
Full Portscan ist erst die Ü30-Party/Restef1cken.

johnripper hat geschrieben:Aus dem Grund sind m.E. auch so viele Kabelkunden betroffen:
- Viele Fritzboxen als Modem/Router

Das wäre bei t-ipconnect.net auch nicht so viel anders.
Da tummeln sich Unmengen an 1&1- oder Congstar-Kunden, die noch viel häufiger (Nämlich meistens) Fritz!Boxen haben als Kabelkunden (Die auch Bridge+D-Link, DK7200 oder Cisco EPC3208G haben könnten).

Wir wissen übrigens längst nicht, wo wirklich die meisten Betroffenen zu finden sind.

Es gibt nur offensichtliche Gründe dafür, wieso wir bisher am meisten von den Opfern bei KNB wissen:
Diese kriegen das Endgerät meist aufgezwungen, hier ist also der Provider in der Pflicht und hat daher ein Eigeninteresse zum Handeln.

Niemand weiß, wie groß die Opferzahlen bei den anderen Anbietern noch werden, wenn erst einmal alle Rechnungen für Februar raus sind ...
Telekom, Vodafone, etc. haben ja gar keinen Grund, ihre Kunden proaktiv zu warnen, sobald der Mißbrauch anfängt!
Die werden die Euros noch schön von den Konten einziehen, bevor den Kunden überhaupt nur auffällt, daß sie gehackt worden sind ... der blöde Kunde hätte ja das SpeedPort mieten oder die Easybox dranlassen können ...

Ich würde übrigens aus folgender Überlegung heraus gezielt DS-lite-Kunden scannen:
Da das AVM-eigene VPN darüber nicht geht, erwarte ich hier überproportional häufig eine offene Fernwartung ...

Die IPv6-Adressen der Router sind auch relativ vorhersehbar, so daß bei weitem nicht der gesamte Adressbereich gescannt werden muß. Die ganzen dem Kunden zugeteilten /57er Subnetze sind z.B. für Port-Scans irrelevant, da der Router jeweils im übergeordneten Subnet sitzt.
Wäre also wirklich mal interessant zu erfahren, welche Anschlußart die Betroffenen haben, also ob die Attacke IPv4-only oder Dual Stack gefahren wurde.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitragvon SpaceRat » 14.02.2014, 16:18

johnripper hat geschrieben:http://forum.kabelbw.de/viewtopic.php?f=17&t=23671&start=90#p235425

Meinst Du den immer noch vorhandenen VPN-Bug?

Das war zu erwarten. AVM hat mit dem Security Fix nichts anderes angefaßt, auch damit es "nichts" zu testen gibt und schnell ausgerollt werden kann.

Anders hätte man auch nicht mehrere Dutzend Firmwares zwischen zwei Pizzen am Wochenende flicken können ...

Ansonsten hätte man ja für jede einzelne Box den aktuellen Entwicklungsstand komplett austesten, stabilisieren, wieder austesten, usw. müssen, bevor man das Update auf die Allgemeinheit loslassen kann.

Daher wird so ein Security Update einfach auf den letzten stabilen Stand "backported" (A la Debian stable, da sind auch tausend Sachen drin, auf die man von der Versionsnummer her schon Rente kriegen müßte, allerdings sind die sicherheitsrelevanten Updates aus den neueren Versionen eben doch drin).

Das macht es nur um so unverständlicher, wieso das Update nicht zeitnah ausgerollt wird, den Stand der "fehlenden" 06.03 hat man nämlich schon im Test bzw. hätte ihn dort haben können.


Edit:
An der 7270v2/7270v3 sieht man das hervornagend. Dort ist der Fix zuerst in die alte "stable" 05.53 eingepatcht worden, die damit guten Gewissens zur stabilen 05.54 wurde.
Den aktuellen und weniger getesteten Entwicklungstand FRITZ!OS 06.03-xxxxx BETA hingegen hat man erst ganz am Schluß ebenfalls gepacht und als FRITZ!OS 06.04-27396 BETA released.
Damit hat man vermieden, daß überstürzt eine 06.04 final veröffentlicht wird, die im Austausch für den Security Fix zig andere Fehler enthält.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: AW: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitragvon johnripper » 14.02.2014, 16:28

SpaceRat hat geschrieben:
johnripper hat geschrieben:
SpaceRat hat geschrieben:Bei der 6360 wird's die 06.03 eben intern schon gegeben haben, so daß hier eine 06.04 rauskam.
Die o.g. 6340 hingegen hatte entsprechend vorher keine 6.03, so daß die gefixte Version hier wie bei den DSL-Fritten die 06.03 ist.

Offensichtlich aber nur für Kabel Deutschland. Die rollen eine 6.04 aus, während KBW die 6.03 (die es gem. dem PDF nicht gibt) ausrollt.

Wenn Du den zitierten Text stehen gelassen oder zumindest gelesen hättest, hättest Du das 6340 erblickt.
Für die ist gar keine Recovery-Firmware im Netz aufgetaucht, zumindest nicht daß ich wüßte.
Logisch also, daß das Changelog der 6360 nicht so recht passen will, wenn wir von einer ganz anderen Box reden.

Verstehst du jetzt deine eigenen Texte nicht mehr?
Ich habe nie etwas zur 6340 in diesem Zusammenhang gesagt.
Besser nochmal selbst lesen und verstehen, daran harpert es gerade etwas...

SpaceRat hat geschrieben:Natürlich ist es das:

Ich habe dazu gerade mal einen Komplettscan bei einem Freund durchgeführt.
nmap hat geschrieben:Completed SYN Stealth Scan at 14:07, 269.10s elapsed (65535 total ports)

Das sind etwa 4,5 Minuten, d.h. bevor Du 1000 Hosts gescannt hast, bist Du mehr als 3 Tage älter.

Haste auch mal wieder nicht kapiert:
Ob du einen Port auf derselben IP oder den gleichen Port auf anderen IP scannst macht zeitlich kein Unterschied.
Nur die Trefferquote ist in letzterem Fall höher. Steht aber so oben.

SpaceRat hat geschrieben:Wir wissen übrigens längst nicht, wo wirklich die meisten Betroffenen zu finden sind

Auch diese Unterstellung, dass ich das jemals behauptet hätte ist wie vieles von dir einfach Unsinn.

SpaceRat hat geschrieben:Die IPv6-Adressen der Router sind auch relativ vorhersehbar, so daß bei weitem nicht der gesamte Adressbereich gescannt werden muß. Die ganzen dem Kunden zugeteilten /57er Subnetze sind z.B. für Port-Scans irrelevant, da der Router jeweils im übergeordneten Subnet sitzt.
Wäre also wirklich mal interessant zu erfahren, welche Anschlußart die Betroffenen haben, also ob die Attacke IPv4-only oder Dual Stack gefahren wurde.

Die Adressbereiche sind überproportional größer, auch ohne die Subnetze. Ist also auch quatsch.
Zudem haben viele Altkunden noch kein IPv6.
Abgesehen davon müssen die Angreifer auch IPv6 ready sein. Offene Proxys oder Botnetze dürften eher im IPv4 Bereich zu bekommen sein.
Office & Internet 150 @ Fritz!Box 6490, OS 6.50
johnripper
Übergeordneter Verstärkerpunkt
 
Beiträge: 834
Registriert: 06.02.2014, 20:29
Wohnort: Kabelbw-Land

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitragvon marty7 » 14.02.2014, 17:08

SpaceRat hat geschrieben:Ich habe nicht gesagt, daß ich mein Heimatnetz nicht reinkriege, immerhin habe ich ja kein E- oder D/2 sondern o2.
Ich habe lediglich gesagt, daß ich hier auch mit einer KPN-Karte (Heimat-)Netz hätte.

:D Ok das stimmt wohl :super:

Da tut sich ja was zwecks Update :
Code: Alles auswählen

Sicherheitslücke durch aktivierten Fernzugang bei der FRITZ!Box
Sicherheitshinweis von Unitymedia KabelBW:
Erste Kunden erhalten Updates – Fernzugang deaktiviert
Seit einigen Tagen ist bekannt, dass unautorisierte Dritte aufgrund einer Sicherheitslücke über den aktivierten Fernzugang auf die Fritzbox zugreifen können. Die Angreifer sind dadurch in der Lage, ein virtuelles IP-Telefon zu installieren und teure Telefonate ins Ausland auf Kosten des Anschlussinhabers zu führen. Über diesen Sachverhalt haben wir die identifizierten Kunden in den vergangenen Tagen informiert und ihnen geraten, den Fernzugang zu deaktivieren.

Wir haben von AVM ein Sicherheitsupdate erhalten, das den Zugang zur Fritzbox durch Fremde unterbindet, wenn der Fernzugriff aktiviert ist. An diesem Update haben wir in den vergangenen Tagen aus Sicherheitsgründen Kompatibilitätstests durchgeführt.
Am heutigen Freitag (14.2.2014) haben wir damit begonnen, das Update zur Beseitigung der Sicherheitslücke an unsere Kunden zu verteilen. Die Auslieferung erfolgt in mehreren Schritten, bis spätestens Ende nächster Woche wird die Aktualisierung abgeschlossen sein.

Da die Aktualisierung der betroffenen Geräte bei allen Kunden etwas Zeit in Anspruch nehmen wird, haben wir uns heute vorsichtshalber dazu entschieden, im Interesse unserer Kunden und im Rahmen einer Risikoabschätzung den Fernzugang auf den Fritzboxen zu deaktivieren, um möglichen Schaden von unseren Kunden abzuwenden.

Warum haben wir uns dazu entschlossen? Viele unserer Kunden sind unseren Hinweisen gefolgt. Dennoch registrieren wir nach wie vor offene Fernzugänge. Wir müssen davon ausgehen, dass es noch zahlreiche offene Fritzbox-Zugänge gibt, die möglicherweise in Vergessenheit geraten sind. Die Abschaltung erfolgt über das Protokoll TR-069, das den Datenaustausch zwischen unseren Systemen und den damit verbundenen Endgerät beim Kunden ermöglicht.

Wir möchten an dieser Stelle darauf hinweisen, dass jeder Kunde für seinen Anschluss verantwortlich ist. Wir raten daher dringlich unsere Sicherheitshinweise ernst zu nehmen und den Fernzugang auf den Fritzboxen deaktiviert zu lassen, solange das Update nicht aufgespielt ist. Die Versionsnummer der neuen Firmware nach dem Update ist „FRITZ!OS 06.03“.
 
Eine konkrete Empfehlung was Telefon-Kunden zu ihrem Schutz tun sollten haben wir hier in einer detaillierten Anleitung zusammengefasst
Weitergehende Informationen finden sich ebenfalls auf der Seite des Herstellers AVM

http://www.unitymedia.de/hilfe_service/ ... nderungen/
Zuletzt geändert von marty7 am 14.02.2014, 18:15, insgesamt 2-mal geändert.
3play PREMIUM 150 Horizon Box Fritzbox 6360
marty7
Kabelexperte
 
Beiträge: 183
Registriert: 27.03.2009, 19:51
Wohnort: Düren

Re: AW: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitragvon SpaceRat » 14.02.2014, 18:06

Substanzlosen Teil gelöscht.

johnripper hat geschrieben:
SpaceRat hat geschrieben:Die IPv6-Adressen der Router sind auch relativ vorhersehbar, so daß bei weitem nicht der gesamte Adressbereich gescannt werden muß. Die ganzen dem Kunden zugeteilten /57er Subnetze sind z.B. für Port-Scans irrelevant, da der Router jeweils im übergeordneten Subnet sitzt.
Wäre also wirklich mal interessant zu erfahren, welche Anschlußart die Betroffenen haben, also ob die Attacke IPv4-only oder Dual Stack gefahren wurde.

Die Adressbereiche sind überproportional größer, auch ohne die Subnetze.

"Überproportional" suggeriert ein Mißverhältnis, das so nicht zwingend existiert.

Angefangen von Unitymedias /32er Subnet an sich, über Stellen die immer 00:0002 sind und ggf. zugrundeliegende MACs, von denen der OUI-Teil (24 Bit) auf den Gegenwert von 4 Bit reduziert werden kann (Weil es nur 12 mögliche OUIs für AVM gibt), ließe sich der abzugrasende Teil u.U. eben doch deutlich eindampfen.

Mir fehlt momentan ein Fundus an realen Router-IPv6-Adressen, um nach Regelmäßigkeiten zu suchen und dann fundiert zu entscheiden, ob der Port-Bereich am Ende wirklich zu riesig ist oder eben nicht.
Mit den Kenntnissen die ich habe, kann ich die Anzahl der zählenden Bits nur auf max. 72 eingrenzen, was immer noch viel zu viel für einen Port-Scan über die gesamte IP-Range wäre. Ab etwa der Hälfte würde es dann tatsächlich interessant ...

Völlig irrelevant wird die Port-Scan-Geschichte, wenn man sich einfach der myfritz.net-Adressen oder zur Not der anderer DynDNS-Dienste bedient. Da ist es wurscht, was für eine Adressfamilie dahintersteckt.

johnripper hat geschrieben:Zudem haben viele Altkunden noch kein IPv6.

Dafür haben praktisch alle Neukunden keine (öffentlich erreichbare) IPv4 ... so what?

johnripper hat geschrieben:Abgesehen davon müssen die Angreifer auch IPv6 ready sein.

Das geringste Problem.
Da stecken garantiert keine n00bs mit 'ner easybox am Vodafone-Anschluß dahinter.

johnripper hat geschrieben:Offene Proxys oder Botnetze dürften eher im IPv4 Bereich zu bekommen sein.

Wenn die Angreifer in Ländern mit hohen Strafverfolgungsbarrieren sitzen, dann machen die das auch ohne Botnetz.

Die primäre Frage ist ja eigentlich: cui bono?

Hinter den Nummern, die da angerufen wurden, stecken keine Mehrwertdienste o.ä., das waren einfach nur Auslandsanrufe.
Die sind mit 1 EUR/Minute (Waren ja wohl ausnahmslos Länder in International 6) zwar happig teuer, das war's aber auch schon.

Mir erschließt sich da einfach der Sinn nicht.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitragvon shub » 14.02.2014, 19:57

Guten Abend,

hätte auch gern den Link zum Update.

Vielen Dank im voraus.
Internet: UM 2play 100 / Fritz!Box 6360 (IPv4)
shub
Kabelneuling
 
Beiträge: 5
Registriert: 08.04.2012, 10:35

VorherigeNächste

Zurück zu FRITZ!Box für Kabel Internet

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 12 Gäste