Na und wo siehst du bei den AVM Kisten ein "realistisches Angriffsszenario"? Ich hatte noch noch nie eine Kabel FB in meinen Händen; aber die Dinger werden ja wohl kaum ein Uploadformular haben, mit dem man jede beliebige Bastelfirmware bedingungslos flashen kann, sondern einfach eine automatisierte Updatefunktion, die das Image direkt von AVM bezieht.
Die Methode, wie die FW auf das Modem kommt und verifiziert wird, wird also die gleiche sein, wie bei jedem anderen Modem ("Secure Software Download" aus den DOCSIS Specs). Die Firmware muss weiterhin vom Hersteller signiert sein. Aus der Sicht eines KNB ist das sicherlich nicht kritischer als jedes andere Modem im Auslieferungszustand.
Es gibt zwar relativ wenig öffentliche Dokumentation dazu, aber ich verwette meinen Arsch darauf, dass Leute wie PeterPawn (die die Fritzboxen in- und auswendig kennen) längst Möglichkeiten haben, auch eine 6490, 6590, 6591 zu modifizieren, und, wenn sie wollten, auch mit einer schönen 1000/1000-Config versehen könnten.
Fritzboxen (ja, auch Kabel-Fritzboxen) haben einen Recovery-Modus. Wenn der gestartet wird, läuft kein Fritz-OS. Dann läuft nur der Bootloader, den du per FTP mit neuen Partitionen versorgen kannst - keine signierte Update-Datei, sondern die einzelnen Teile der Update-Datei, die dann ohne jede Signaturprüfung in den Flash geschrieben und gestartet werden. Die einzige Schwierigkeit ist es, die merkwürdigen Formate zu entpacken und das noch merkwürdigere Flash-Layout der neueren Boxen (6490, 6590, 6591).
Siehe entsprechende Dokumentation für die NAND-Boxen (z. B. 7490):
in seinem Github-Repo oder
im IP-Phone-Forum, oder in den
EVA-Tools, die das Flashen über den Bootloader übernehmen (oder sogar eine Firmware temporär in den RAM schreiben und daraus booten können).
Das lässt sich garantiert auch für die neuen Kabelboxen umschreiben. Der Bootloader ist noch da, immer noch ohne Signaturprüfung, kann immer noch Daten ins Flash schreiben. Hat nur noch keiner die Software angepasst.
Fritzboxen sind auch keine Hochsicherheitsboxen. Man erinnere sich nur an die var:lang-Schwachstelle, mit der jeder ohne Anmeldung als Root Befehle ausführen könnte, die $(hostname)-Schwachstelle in <06.04 (=> Telnet auf 6360), die TR069-Schwachstelle (=> Telnet auf 6360, nochmal), die Panne mit dem "Och, packen wir doch mal unser privates DOCSIS-Zertifikat in die Fritzboxen" und die damit verbundene genau so bekloppte Idee mit dem C4-Server, die das neue Zertifikat theoretisch direkt wieder kompromittiert hat. Oder sämtliche weitere Sicherheitslücken
hier, die man alle zum Hacken einer Kabelbox benutzen könnte/kann.
Fritzboxen wurden von Grund auf als "Der Kunde kann alles modifizieren, ist ja eh nur DSL, kann ja eh nix bei anderen stören" konzipiert, was AVM dann im Kabel-Bereich halt ein paar Probleme bereitet (hat).