Fritzbox OS 6.0 Rollout ab 13.1.2014

In diesem Forum geht es um die Router für Kabel Internet FRITZ!Box 6320, FRITZ!Box 6340, FRITZ!Box 6360, FRITZ!Box 6490 & FRITZ!Box 6590 Cable der Firma AVM.
hajodele
Kabelkopfstation
Beiträge: 4821
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von hajodele » 14.02.2014, 10:48

In Kabelbw-Land hat der Upgrade begonnen:
Meine Mutter hat auf ihrer 6340 jetzt die 6.03
Meinen Schwager (6360) habe ich noch nicht erreicht, damit ich über Teamviewer die ganze Sache anschauen kann.

Egalus
erfahrener Kabelkunde
Beiträge: 59
Registriert: 11.12.2013, 06:38

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von Egalus » 14.02.2014, 10:56

hajodele hat geschrieben:
johnripper hat geschrieben:Finde ich auch richtig.
Es ihre Box unter ihrer Verwaltung. Da sollen die gefälligst ihren Job machen und mir ärger einfach vom Hals halten
Als Sicherheitsmaßnahme habe ich darum nur Myfritz.net und DDNS abgestellt sowie den Fernwartungsport und Passwort geändert.
Der Zugriff erfolgt nur noch via IP, die ich per Email erhalte.
Und du meinst das Scannen einer IP-Range (die an deutsche Provider vergebenen IP Adressen sind kein Geheimnis) über alle Ports wäre ein Problem?
Das geht verteilt, automatisiert und mit relativ wenig Bandbreite in vernünftiger Zeit.
Damit gewinnst du vielleicht gegen das 0815 Scriptkiddie, aber wohl kaum gegen die, die diese Lücke gefunden haben und über ausländische Mehrwertdienste Geld verdienen.
Die Lösung für den DSLite Murx von Unitymedia: Business-Kunde mit statischer IPv4 Adresse werden.

Spass mit DS-Lite:
- OpenVPN an einen IPv4 Endpoint funktioniert über DSLite wenn man die MTU auf 1380 Bytes reduziert.
- Die Firewall des TC7200 ist binär. Alles an oder alles aus.
- Die FB6360 kann zwar IPv6 Prefix Delegation, AVM ist aber unfähig der Fritte dann beizubringen die Finger vom Prefix zu lassen => eingehender Verbindungsaufbau unmöglich.

hajodele
Kabelkopfstation
Beiträge: 4821
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von hajodele » 14.02.2014, 11:04

Egalus hat geschrieben:
hajodele hat geschrieben:
johnripper hat geschrieben:Finde ich auch richtig.
Es ihre Box unter ihrer Verwaltung. Da sollen die gefälligst ihren Job machen und mir ärger einfach vom Hals halten
Als Sicherheitsmaßnahme habe ich darum nur Myfritz.net und DDNS abgestellt sowie den Fernwartungsport und Passwort geändert.
Der Zugriff erfolgt nur noch via IP, die ich per Email erhalte.
Und du meinst das Scannen einer IP-Range (die an deutsche Provider vergebenen IP Adressen sind kein Geheimnis) über alle Ports wäre ein Problem?
Das geht verteilt, automatisiert und mit relativ wenig Bandbreite in vernünftiger Zeit.
Damit gewinnst du vielleicht gegen das 0815 Scriptkiddie, aber wohl kaum gegen die, die diese Lücke gefunden haben und über ausländische Mehrwertdienste Geld verdienen.
Das habe ich nicht behauptet. Nur halte ich so das Restrisiko in erträglichen Grenzen.
Der Angriff erfolgt ausschließlich über den Standardport und ohne Myfritz.net und DDNS müssen sie auch noch anfangen, öffentliche IPs zu scannen. :D
Da können sie sich doch einfacher an einer der tausenden Fritzboxen schadlos halten, bei denen nichts gemacht wurde.

P.S: Ich vergaß oben:
- Innerhalb der Fritzbox sind schon die ganze Zeit Ausland und Sonderrufnummern gesperrt.
- Einen gleichlautenden Sperrantrag habe ich auch an Kabelbw gestellt. Ich weiß allerdings nicht, wie lange die brauchen.

Joerg123
Übergabepunkt
Beiträge: 484
Registriert: 29.09.2011, 18:27

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von Joerg123 » 14.02.2014, 11:24

hajodele hat geschrieben:In Kabelbw-Land hat der Upgrade begonnen:
Meine Mutter hat auf ihrer 6340 jetzt die 6.03
Wo liegt denn wohl noch der Unterschied zwischen 6.03 und 6.04 ?
also wer das Recovery-Update 6.04 hat mit dem dazuehörigen PDF von AVM, der mag sich, so wie ich, gewundert haben, dass es keine Beschreibung zu 6.03 gibt, es wird 6.02 und direkt danach 6.04 beschrieben, was ich auch etwas eigenartig fand.
Insbesondere eigenartig, wo der Fix der Sicherheitslücke unter 6.04 aufgerführt ist - und jetzt auch nicht "mehr fixes" wo man sagen könnte, dass ein kleineres Fritzbox-Modell auf diese zusätzlichen Features/Fixes verzichten könnte, weil das Modell diese nicht unterstützt, 6.04 weisst als Neuerung einzig den Fix des Sicherheitsproblems auf.
Office Internet&Phone 50/5 Mbit/s via Fritzbox 6360 mit Fritz!OS 06.52
2x DECT (Siemens S67h + S68h, HDfähig) via Fritzbox

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von SpaceRat » 14.02.2014, 11:24

hajodele hat geschrieben:Als Sicherheitsmaßnahme habe ich darum nur Myfritz.net und DDNS abgestellt sowie den Fernwartungsport und Passwort geändert.
Der Zugriff erfolgt nur noch via IP, die ich per Email erhalte.
Der MyFritz!-Dienst scheint mir bei der Sache nur eine Statistenrolle zu spielen.
Über MyFritz! war es nur einfacher, die Geräte zu finden, weil hinter der Domain blubber.myfritz.net eben immer
1. eine Fritz!Box
2. einer Generation die Fernwartung kann
steckt, hinter superkabel.de oder unitymediagroup.de aber nicht unbedingt.

Ich denke mal, daß man alleine mit einem Non-Standard-Port noch so lange "sicher" vor Angriffen ist, wie es noch Boxen gibt, die sich über <blubber>.myfritz.net und Standard-Port auf dem goldenen Tablett präsentieren.

Danach kommen die Fritz!Boxen dran, deren Fernwartung innerhalb der alten, überschaubaren Port-Range liegt, und zwar zuerst bei den Providern, die Fritz!Boxen ausliefern, schätzungsweise angefangen bei
dip0.t-ipconnect.de = T-Online Resale, also in nicht unerheblichem Maße 1&1, wo man fast immer eine Fritte kriegt.
gefolgt von telefonica und qsc (Ebenfalls 1&1, aber auch Congstar, die ebenfalls Fritten verteilen).
Usw.

Port-Scans von 1 bis 65535 über riesige IP-Ranges hinweg halte ich für zu aufwendig.

"Sicher" ist dabei natürlich arg relativ, aber bekannte Fälle bei denen auch Non-Standard-Ports probiert wurden sind selten bis nicht existent.

Meine Fritten 7170, 7570 und 7390, aber alle auf Non-Standard-Port, hat anscheinend niemand angegriffen.
Da es sich um freie Fritten handelt, sind die natürlich inzwischen auch alle gefixt.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von SpaceRat » 14.02.2014, 11:32

Joerg123 hat geschrieben:
hajodele hat geschrieben:In Kabelbw-Land hat der Upgrade begonnen:
Meine Mutter hat auf ihrer 6340 jetzt die 6.03
Wo liegt denn wohl noch der Unterschied zwischen 6.03 und 6.04 ?
also wer das Recovery-Update 6.04 hat mit dem dazuehörigen PDF von AVM, der mag sich, so wie ich, gewundert haben, dass es keine Beschreibung zu 6.03 gibt, es wird 6.02 und direkt danach 6.04 beschrieben, was ich auch etwas eigenartig fand.
Der Unterschied liegt in den Boxen, für die sie sind.
Auf meiner 7390 läuft auch eine 06.03 mit dem Fix.

Bei der 6360 wird's die 06.03 eben intern schon gegeben haben, so daß hier eine 06.04 rauskam.
Die o.g. 6340 hingegen hatte entsprechend vorher keine 6.03, so daß die gefixte Version hier wie bei den DSL-Fritten die 06.03 ist.
Bei meiner 7570 ist Version 75.04.92 die gefixte, da die Box vorher nur bis 75.04.91 gepflegt worden war ..
Die 7170 ist sogar bei 29.04.88 schon gefixt, diese war eigentlich mit 29.04.87 EOL und hat einfach nur den Sicherheitsfix verpaßt bekommen.

Es ist halt bei jeder einzelnen Box einfach nur die Minor Version Number um 1 erhöht worden.

Also: Auch wenn die unterschiedlichen Boxen immer mal wieder gleiche Firmware-Versionsnummern aufweisen, dann kann sich das durch kleinere Updates auch immer wieder mal verschieben.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von SpaceRat » 14.02.2014, 11:47

hajodele hat geschrieben:- Innerhalb der Fritzbox sind schon die ganze Zeit Ausland und Sonderrufnummern gesperrt.
Über den Tip habe ich auch herzlich gelacht.

Was soll das bewirken?

Daß die Angreifer sich denken "Oh, neeee, der will nicht ins Ausland telefonieren, nehmen wir mal die nächste Box."?
Wenn die Zugriff auf die Box haben, dann können die diese Sperre genauso löschen wie sie auch einen SIP-Account anlegen konnten.
hajodele hat geschrieben:- Einen gleichlautenden Sperrantrag habe ich auch an Kabelbw gestellt. Ich weiß allerdings nicht, wie lange die brauchen.
Wäre hier auch an allen Anschlüssen inakzeptabel.

Ich wohne hier so nah an der Grenze, daß ich mir auch eine KPN-SIM-Karte zulegen könnte und damit Netz hätte. Da hat man dann eben auch Kollegen und Bekannte, die in Belgien oder den Niederlanden wohnen.
Mein Trauzeuge ist halber Holländer ...
Und meine Eltern würden sich auch bedanken, wenn sie wegen einer überflüssigen Sicherheitslücke kein Ferienhaus in den Niederlanden oder Dänemark mehr buchen dürften.

Wir haben nicht mehr 1850, wo selbst Nachbarländer exotisch waren. Andererseits wären wir damals alle Ausländer gewesen, so zersplittert wie Deutschland damals noch war ...
In diesem Sinne: Für ein Deutschland in den Grenzen von 1228 - Neapel bleibt unser!

hajodele
Kabelkopfstation
Beiträge: 4821
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von hajodele » 14.02.2014, 12:19

SpaceRat hat geschrieben:
hajodele hat geschrieben:- Innerhalb der Fritzbox sind schon die ganze Zeit Ausland und Sonderrufnummern gesperrt.
Über den Tip habe ich auch herzlich gelacht.

Was soll das bewirken?

Daß die Angreifer sich denken "Oh, neeee, der will nicht ins Ausland telefonieren, nehmen wir mal die nächste Box."?
Wenn die Zugriff auf die Box haben, dann können die diese Sperre genauso löschen wie sie auch einen SIP-Account anlegen konnten.
Danke, dass ich fürs Amusement beitragen konnte :glück:
Für den Angreifer ist es schon mal ein Schritt mehr, wenn er es von Hand macht. Wenn es gescriptet ist, muss er überhaupt mal daran denken.
Ich brauche eigentlich nur einen Anschluß nach Thailand. Dieser läuft wegen der Kosten über einen Prepaid-Provider. So sind max. 10 Euro weg. Über den gleichen Anschluss telefonieren wir ins deutsche Mobilnetz und, wenn erforderlich, auch in andere Länder. (Ich wohne in Karlsruhe und Frankreich ist in 20 Autominuten locker erreichbar).
Mit der Schweiz brauche ich nicht so viel zu telefonieren, da die dortigen Schwarzgelder eher nicht existent sind :bäh:

marty7
Kabelexperte
Beiträge: 182
Registriert: 27.03.2009, 18:51
Wohnort: Düren

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von marty7 » 14.02.2014, 13:09

hajodele hat geschrieben:
- Einen gleichlautenden Sperrantrag habe ich auch an Kabelbw gestellt. Ich weiß allerdings nicht, wie lange die brauchen.
Dauert bis zu 2.Std.Bei mir hatte es 1/2 Std gedauert.Kannst du im Kundencenter einsehen :zwinker:
SpaceRat hat geschrieben: Ich wohne hier so nah an der Grenze, daß ich mir auch eine KPN-SIM-Karte zulegen könnte und damit Netz hätte. Da hat man dann eben auch Kollegen und Bekannte, die in Belgien oder den Niederlanden wohnen.
Was hast du den für ein Netzbetreiber? Selbst wenn ich über die Grenze fahre habe ich noch DE Netz.Da muß ich schon weit nach Holland rein fahren das es auf NL wechselt :D
3play PREMIUM 150 Horizon Box Fritzbox 6360

jonny-007
Kabelneuling
Beiträge: 4
Registriert: 02.01.2014, 13:11

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von jonny-007 » 14.02.2014, 13:37

Guten Morgen,

Auch ich würde mich über den Link zum Update sehr freuen.

Vielen Dank im vorraus.

Gruß

Jonny

hajodele
Kabelkopfstation
Beiträge: 4821
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von hajodele » 14.02.2014, 13:43

marty7 hat geschrieben:
hajodele hat geschrieben:
- Einen gleichlautenden Sperrantrag habe ich auch an Kabelbw gestellt. Ich weiß allerdings nicht, wie lange die brauchen.
Dauert bis zu 2.Std.Bei mir hatte es 1/2 Std gedauert.Kannst du im Kundencenter einsehen :zwinker:
Aber doch nicht in Kabelbw-Land - da gilt
1. no net hudle (nicht so schnell) - mir wurde was von 1-2 Tagen erzählt.
2. bloss gschwätzt (nur mündlich) - unser Kundencenter dient mehr oder weniger nur der Rechnungspflege und die wollen mir das nichtmal bestätigen.

johnripper
Glasfaserstrecke
Beiträge: 1296
Registriert: 06.02.2014, 19:29
Wohnort: Kabelbw-Land

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von johnripper » 14.02.2014, 13:44

SpaceRat hat geschrieben:Bei der 6360 wird's die 06.03 eben intern schon gegeben haben, so daß hier eine 06.04 rauskam.
Die o.g. 6340 hingegen hatte entsprechend vorher keine 6.03, so daß die gefixte Version hier wie bei den DSL-Fritten die 06.03 ist.
Offensichtlich aber nur für Kabel Deutschland. Die rollen eine 6.04 aus, während KBW die 6.03 (die es gem. dem PDF nicht gibt) ausrollt.
SpaceRat hat geschrieben:Port-Scans von 1 bis 65535 über riesige IP-Ranges hinweg halte ich für zu aufwendig.
Aufwendig ist das nicht. Es ist aber noch einfacher nur 443 zu scannen (im Moment). Die Wahrscheinlichkeit dass ein FB auf einen anderen wie den 443 Port läuft ist wahrscheinlich viel geringer wie die Wahrscheinlichkeit, dass auf einer anderen IP eine FB mit offenem Port 443 läuft.
Aus dem Grund sind m.E. auch so viele Kabelkunden betroffen:
- Kleine IP Netze die relativ dicht belegt sind.
- Viele Privatkunden, keine großen Bereiche mit statischen IPs und professionellen Serverfarmen wie vielleicht bei der Telekom/T-Systems.
- Viele Fritzboxen als Modem/Router
- Rel. statische IPs.

Auch hier. Die Wahrscheinlichkeit dort eine FB zu treffen ist einfach höher wie bei anderen Providern.

Und den Port von 443 abweichend zu wählen: Sankt-Florian-Prinzip : )
Office & Internet 150 @ Fritz!Box 6490, OS 6.50

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von SpaceRat » 14.02.2014, 13:51

marty7 hat geschrieben:
SpaceRat hat geschrieben:Ich wohne hier so nah an der Grenze, daß ich mir auch eine KPN-SIM-Karte zulegen könnte und damit Netz hätte. Da hat man dann eben auch Kollegen und Bekannte, die in Belgien oder den Niederlanden wohnen.
Was hast du den für ein Netzbetreiber? Selbst wenn ich über die Grenze fahre habe ich noch DE Netz.Da muß ich schon weit nach Holland rein fahren das es auf NL wechselt :D
Ich habe nicht gesagt, daß ich mein Heimatnetz nicht reinkriege, immerhin habe ich ja kein E- oder D/2 sondern o2.
Ich habe lediglich gesagt, daß ich hier auch mit einer KPN-Karte (Heimat-)Netz hätte.

johnripper
Glasfaserstrecke
Beiträge: 1296
Registriert: 06.02.2014, 19:29
Wohnort: Kabelbw-Land

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von johnripper » 14.02.2014, 13:59

Office & Internet 150 @ Fritz!Box 6490, OS 6.50

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von SpaceRat » 14.02.2014, 15:06

johnripper hat geschrieben:
SpaceRat hat geschrieben:Bei der 6360 wird's die 06.03 eben intern schon gegeben haben, so daß hier eine 06.04 rauskam.
Die o.g. 6340 hingegen hatte entsprechend vorher keine 6.03, so daß die gefixte Version hier wie bei den DSL-Fritten die 06.03 ist.
Offensichtlich aber nur für Kabel Deutschland. Die rollen eine 6.04 aus, während KBW die 6.03 (die es gem. dem PDF nicht gibt) ausrollt.
Wenn Du den zitierten Text stehen gelassen oder zumindest gelesen hättest, hättest Du das 6340 erblickt.
Für die ist gar keine Recovery-Firmware im Netz aufgetaucht, zumindest nicht daß ich wüßte.
Logisch also, daß das Changelog der 6360 nicht so recht passen will, wenn wir von einer ganz anderen Box reden.
johnripper hat geschrieben:
SpaceRat hat geschrieben:Port-Scans von 1 bis 65535 über riesige IP-Ranges hinweg halte ich für zu aufwendig.
Aufwendig ist das nicht.
Natürlich ist es das:

Ich habe dazu gerade mal einen Komplettscan bei einem Freund durchgeführt.
nmap hat geschrieben:Completed SYN Stealth Scan at 14:07, 269.10s elapsed (65535 total ports)
Das sind etwa 4,5 Minuten, d.h. bevor Du 1000 Hosts gescannt hast, bist Du mehr als 3 Tage älter.

Willst Du bereits durch nmap sicherstellen, welcher der offenen Ports der richtige für
nmap hat geschrieben:xxxxx/tcp open ssl/http FRITZ!Box http config
ist, kommt noch ein Service-Scan hinzu.

Probierst Du es hingegen direkt mit einem einzigen Port (Also 443), dann bist Du bei einem Nichttreffer nach <20 Sekunden und bei einem Treffer nach <60 Sekunden durch (Inkl. der Identifikation des offenen Ports als tatsächlicher Fritz!Box-Fernzugriff!).
Damit hätte man nur noch zwischen gut 5h und ca. 16,5h gebraucht.

Für die 8 möglichen Ports (443-450) aus älteren Firmwares, wobei eben viele Fritz!Boxen gewohnheitsmäßig noch auf einem davon konfiguriert sein werden, braucht man nur unwesentlich länger als für einen.
johnripper hat geschrieben:Es ist aber noch einfacher nur 443 zu scannen (im Moment). Die Wahrscheinlichkeit dass ein FB auf einen anderen wie den 443 Port läuft ist wahrscheinlich viel geringer wie die Wahrscheinlichkeit, dass auf einer anderen IP eine FB mit offenem Port 443 läuft.
1. als.
2. Ganz genau. St.-Florian-Prinzip nennt man das.

Solange ich binnen 3,5 Tagen zwischen 16800 (Nieten) und 5000 (Alles Treffer!) Boxen abklappern kann und damit genug Opfer finde, begnüge ich mich nicht mit 1000 (Treffer und Nieten).
Full Portscan ist erst die Ü30-Party/Restef1cken.
johnripper hat geschrieben:Aus dem Grund sind m.E. auch so viele Kabelkunden betroffen:
- Viele Fritzboxen als Modem/Router
Das wäre bei t-ipconnect.net auch nicht so viel anders.
Da tummeln sich Unmengen an 1&1- oder Congstar-Kunden, die noch viel häufiger (Nämlich meistens) Fritz!Boxen haben als Kabelkunden (Die auch Bridge+D-Link, DK7200 oder Cisco EPC3208G haben könnten).

Wir wissen übrigens längst nicht, wo wirklich die meisten Betroffenen zu finden sind.

Es gibt nur offensichtliche Gründe dafür, wieso wir bisher am meisten von den Opfern bei KNB wissen:
Diese kriegen das Endgerät meist aufgezwungen, hier ist also der Provider in der Pflicht und hat daher ein Eigeninteresse zum Handeln.

Niemand weiß, wie groß die Opferzahlen bei den anderen Anbietern noch werden, wenn erst einmal alle Rechnungen für Februar raus sind ...
Telekom, Vodafone, etc. haben ja gar keinen Grund, ihre Kunden proaktiv zu warnen, sobald der Mißbrauch anfängt!
Die werden die Euros noch schön von den Konten einziehen, bevor den Kunden überhaupt nur auffällt, daß sie gehackt worden sind ... der blöde Kunde hätte ja das SpeedPort mieten oder die Easybox dranlassen können ...

Ich würde übrigens aus folgender Überlegung heraus gezielt DS-lite-Kunden scannen:
Da das AVM-eigene VPN darüber nicht geht, erwarte ich hier überproportional häufig eine offene Fernwartung ...

Die IPv6-Adressen der Router sind auch relativ vorhersehbar, so daß bei weitem nicht der gesamte Adressbereich gescannt werden muß. Die ganzen dem Kunden zugeteilten /57er Subnetze sind z.B. für Port-Scans irrelevant, da der Router jeweils im übergeordneten Subnet sitzt.
Wäre also wirklich mal interessant zu erfahren, welche Anschlußart die Betroffenen haben, also ob die Attacke IPv4-only oder Dual Stack gefahren wurde.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von SpaceRat » 14.02.2014, 15:18

Meinst Du den immer noch vorhandenen VPN-Bug?

Das war zu erwarten. AVM hat mit dem Security Fix nichts anderes angefaßt, auch damit es "nichts" zu testen gibt und schnell ausgerollt werden kann.

Anders hätte man auch nicht mehrere Dutzend Firmwares zwischen zwei Pizzen am Wochenende flicken können ...

Ansonsten hätte man ja für jede einzelne Box den aktuellen Entwicklungsstand komplett austesten, stabilisieren, wieder austesten, usw. müssen, bevor man das Update auf die Allgemeinheit loslassen kann.

Daher wird so ein Security Update einfach auf den letzten stabilen Stand "backported" (A la Debian stable, da sind auch tausend Sachen drin, auf die man von der Versionsnummer her schon Rente kriegen müßte, allerdings sind die sicherheitsrelevanten Updates aus den neueren Versionen eben doch drin).

Das macht es nur um so unverständlicher, wieso das Update nicht zeitnah ausgerollt wird, den Stand der "fehlenden" 06.03 hat man nämlich schon im Test bzw. hätte ihn dort haben können.


Edit:
An der 7270v2/7270v3 sieht man das hervornagend. Dort ist der Fix zuerst in die alte "stable" 05.53 eingepatcht worden, die damit guten Gewissens zur stabilen 05.54 wurde.
Den aktuellen und weniger getesteten Entwicklungstand FRITZ!OS 06.03-xxxxx BETA hingegen hat man erst ganz am Schluß ebenfalls gepacht und als FRITZ!OS 06.04-27396 BETA released.
Damit hat man vermieden, daß überstürzt eine 06.04 final veröffentlicht wird, die im Austausch für den Security Fix zig andere Fehler enthält.

johnripper
Glasfaserstrecke
Beiträge: 1296
Registriert: 06.02.2014, 19:29
Wohnort: Kabelbw-Land

Re: AW: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von johnripper » 14.02.2014, 15:28

SpaceRat hat geschrieben:
johnripper hat geschrieben:
SpaceRat hat geschrieben:Bei der 6360 wird's die 06.03 eben intern schon gegeben haben, so daß hier eine 06.04 rauskam.
Die o.g. 6340 hingegen hatte entsprechend vorher keine 6.03, so daß die gefixte Version hier wie bei den DSL-Fritten die 06.03 ist.
Offensichtlich aber nur für Kabel Deutschland. Die rollen eine 6.04 aus, während KBW die 6.03 (die es gem. dem PDF nicht gibt) ausrollt.
Wenn Du den zitierten Text stehen gelassen oder zumindest gelesen hättest, hättest Du das 6340 erblickt.
Für die ist gar keine Recovery-Firmware im Netz aufgetaucht, zumindest nicht daß ich wüßte.
Logisch also, daß das Changelog der 6360 nicht so recht passen will, wenn wir von einer ganz anderen Box reden.
Verstehst du jetzt deine eigenen Texte nicht mehr?
Ich habe nie etwas zur 6340 in diesem Zusammenhang gesagt.
Besser nochmal selbst lesen und verstehen, daran harpert es gerade etwas...
SpaceRat hat geschrieben: Natürlich ist es das:

Ich habe dazu gerade mal einen Komplettscan bei einem Freund durchgeführt.
nmap hat geschrieben:Completed SYN Stealth Scan at 14:07, 269.10s elapsed (65535 total ports)
Das sind etwa 4,5 Minuten, d.h. bevor Du 1000 Hosts gescannt hast, bist Du mehr als 3 Tage älter.
Haste auch mal wieder nicht kapiert:
Ob du einen Port auf derselben IP oder den gleichen Port auf anderen IP scannst macht zeitlich kein Unterschied.
Nur die Trefferquote ist in letzterem Fall höher. Steht aber so oben.
SpaceRat hat geschrieben:Wir wissen übrigens längst nicht, wo wirklich die meisten Betroffenen zu finden sind
Auch diese Unterstellung, dass ich das jemals behauptet hätte ist wie vieles von dir einfach Unsinn.
SpaceRat hat geschrieben: Die IPv6-Adressen der Router sind auch relativ vorhersehbar, so daß bei weitem nicht der gesamte Adressbereich gescannt werden muß. Die ganzen dem Kunden zugeteilten /57er Subnetze sind z.B. für Port-Scans irrelevant, da der Router jeweils im übergeordneten Subnet sitzt.
Wäre also wirklich mal interessant zu erfahren, welche Anschlußart die Betroffenen haben, also ob die Attacke IPv4-only oder Dual Stack gefahren wurde.
Die Adressbereiche sind überproportional größer, auch ohne die Subnetze. Ist also auch quatsch.
Zudem haben viele Altkunden noch kein IPv6.
Abgesehen davon müssen die Angreifer auch IPv6 ready sein. Offene Proxys oder Botnetze dürften eher im IPv4 Bereich zu bekommen sein.
Office & Internet 150 @ Fritz!Box 6490, OS 6.50

marty7
Kabelexperte
Beiträge: 182
Registriert: 27.03.2009, 18:51
Wohnort: Düren

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von marty7 » 14.02.2014, 16:08

SpaceRat hat geschrieben: Ich habe nicht gesagt, daß ich mein Heimatnetz nicht reinkriege, immerhin habe ich ja kein E- oder D/2 sondern o2.
Ich habe lediglich gesagt, daß ich hier auch mit einer KPN-Karte (Heimat-)Netz hätte.
:D Ok das stimmt wohl :super:

Da tut sich ja was zwecks Update :

Code: Alles auswählen


Sicherheitslücke durch aktivierten Fernzugang bei der FRITZ!Box
Sicherheitshinweis von Unitymedia KabelBW:
Erste Kunden erhalten Updates – Fernzugang deaktiviert
Seit einigen Tagen ist bekannt, dass unautorisierte Dritte aufgrund einer Sicherheitslücke über den aktivierten Fernzugang auf die Fritzbox zugreifen können. Die Angreifer sind dadurch in der Lage, ein virtuelles IP-Telefon zu installieren und teure Telefonate ins Ausland auf Kosten des Anschlussinhabers zu führen. Über diesen Sachverhalt haben wir die identifizierten Kunden in den vergangenen Tagen informiert und ihnen geraten, den Fernzugang zu deaktivieren.

Wir haben von AVM ein Sicherheitsupdate erhalten, das den Zugang zur Fritzbox durch Fremde unterbindet, wenn der Fernzugriff aktiviert ist. An diesem Update haben wir in den vergangenen Tagen aus Sicherheitsgründen Kompatibilitätstests durchgeführt.
Am heutigen Freitag (14.2.2014) haben wir damit begonnen, das Update zur Beseitigung der Sicherheitslücke an unsere Kunden zu verteilen. Die Auslieferung erfolgt in mehreren Schritten, bis spätestens Ende nächster Woche wird die Aktualisierung abgeschlossen sein.

Da die Aktualisierung der betroffenen Geräte bei allen Kunden etwas Zeit in Anspruch nehmen wird, haben wir uns heute vorsichtshalber dazu entschieden, im Interesse unserer Kunden und im Rahmen einer Risikoabschätzung den Fernzugang auf den Fritzboxen zu deaktivieren, um möglichen Schaden von unseren Kunden abzuwenden.

Warum haben wir uns dazu entschlossen? Viele unserer Kunden sind unseren Hinweisen gefolgt. Dennoch registrieren wir nach wie vor offene Fernzugänge. Wir müssen davon ausgehen, dass es noch zahlreiche offene Fritzbox-Zugänge gibt, die möglicherweise in Vergessenheit geraten sind. Die Abschaltung erfolgt über das Protokoll TR-069, das den Datenaustausch zwischen unseren Systemen und den damit verbundenen Endgerät beim Kunden ermöglicht.

Wir möchten an dieser Stelle darauf hinweisen, dass jeder Kunde für seinen Anschluss verantwortlich ist. Wir raten daher dringlich unsere Sicherheitshinweise ernst zu nehmen und den Fernzugang auf den Fritzboxen deaktiviert zu lassen, solange das Update nicht aufgespielt ist. Die Versionsnummer der neuen Firmware nach dem Update ist „FRITZ!OS 06.03“.
 
Eine konkrete Empfehlung was Telefon-Kunden zu ihrem Schutz tun sollten haben wir hier in einer detaillierten Anleitung zusammengefasst
Weitergehende Informationen finden sich ebenfalls auf der Seite des Herstellers AVM
http://www.unitymedia.de/hilfe_service/ ... nderungen/
Zuletzt geändert von marty7 am 14.02.2014, 17:15, insgesamt 2-mal geändert.
3play PREMIUM 150 Horizon Box Fritzbox 6360

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: AW: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von SpaceRat » 14.02.2014, 17:06

Substanzlosen Teil gelöscht.
johnripper hat geschrieben:
SpaceRat hat geschrieben:Die IPv6-Adressen der Router sind auch relativ vorhersehbar, so daß bei weitem nicht der gesamte Adressbereich gescannt werden muß. Die ganzen dem Kunden zugeteilten /57er Subnetze sind z.B. für Port-Scans irrelevant, da der Router jeweils im übergeordneten Subnet sitzt.
Wäre also wirklich mal interessant zu erfahren, welche Anschlußart die Betroffenen haben, also ob die Attacke IPv4-only oder Dual Stack gefahren wurde.
Die Adressbereiche sind überproportional größer, auch ohne die Subnetze.
"Überproportional" suggeriert ein Mißverhältnis, das so nicht zwingend existiert.

Angefangen von Unitymedias /32er Subnet an sich, über Stellen die immer 00:0002 sind und ggf. zugrundeliegende MACs, von denen der OUI-Teil (24 Bit) auf den Gegenwert von 4 Bit reduziert werden kann (Weil es nur 12 mögliche OUIs für AVM gibt), ließe sich der abzugrasende Teil u.U. eben doch deutlich eindampfen.

Mir fehlt momentan ein Fundus an realen Router-IPv6-Adressen, um nach Regelmäßigkeiten zu suchen und dann fundiert zu entscheiden, ob der Port-Bereich am Ende wirklich zu riesig ist oder eben nicht.
Mit den Kenntnissen die ich habe, kann ich die Anzahl der zählenden Bits nur auf max. 72 eingrenzen, was immer noch viel zu viel für einen Port-Scan über die gesamte IP-Range wäre. Ab etwa der Hälfte würde es dann tatsächlich interessant ...

Völlig irrelevant wird die Port-Scan-Geschichte, wenn man sich einfach der myfritz.net-Adressen oder zur Not der anderer DynDNS-Dienste bedient. Da ist es wurscht, was für eine Adressfamilie dahintersteckt.
johnripper hat geschrieben:Zudem haben viele Altkunden noch kein IPv6.
Dafür haben praktisch alle Neukunden keine (öffentlich erreichbare) IPv4 ... so what?
johnripper hat geschrieben:Abgesehen davon müssen die Angreifer auch IPv6 ready sein.
Das geringste Problem.
Da stecken garantiert keine n00bs mit 'ner easybox am Vodafone-Anschluß dahinter.
johnripper hat geschrieben:Offene Proxys oder Botnetze dürften eher im IPv4 Bereich zu bekommen sein.
Wenn die Angreifer in Ländern mit hohen Strafverfolgungsbarrieren sitzen, dann machen die das auch ohne Botnetz.

Die primäre Frage ist ja eigentlich: cui bono?

Hinter den Nummern, die da angerufen wurden, stecken keine Mehrwertdienste o.ä., das waren einfach nur Auslandsanrufe.
Die sind mit 1 EUR/Minute (Waren ja wohl ausnahmslos Länder in International 6) zwar happig teuer, das war's aber auch schon.

Mir erschließt sich da einfach der Sinn nicht.

shub
Kabelneuling
Beiträge: 5
Registriert: 08.04.2012, 10:35

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von shub » 14.02.2014, 18:57

Guten Abend,

hätte auch gern den Link zum Update.

Vielen Dank im voraus.
Internet: UM 2play 100 / Fritz!Box 6360 (IPv4)

nick99cgn
Übergeordneter Verstärkerpunkt
Beiträge: 661
Registriert: 21.03.2007, 14:25
Wohnort: 50xxx Köln

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von nick99cgn » 14.02.2014, 19:26

Ich schließe mich meinem Vorredner an.
Könnte mir jemand den Link zum Update zuschicken?
3play PREMUIM 200:
Horizon HD Recorder V2 / DigitalTV ALLSTARS + HD Option + Sky komplett Paket

2play Max400:
Connect Box

shm0
Kabelexperte
Beiträge: 108
Registriert: 25.05.2009, 22:18

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von shm0 » 14.02.2014, 22:05

Hier bitte:

Link entfernt, die Moderation.

Es ist die 6.04. UM rollt demnächst 6.03 aus.
Es ist eine Recovery. Programm starten und den Anweisungen folgen. Vllt noch eurer Netzwerkkarte eine feste IP verpassen z.B. 192.168.178.10

Aber es gibt da ein Paar Dinge die ich erwähne möchte.
Beim Neustarten der FB dauert es etwas da Sie versucht die Firmware vom UM Server zu laden und zu flashen was aber fehlt schlägt.
SW upgrade Failed after download - Incompatible SW file
Hoffe es liegt nur daran, dass die 6.04 neuer ist als die geladene. Sonst wäre es nicht so toll wenn zukünftig keine Firmare mehr von UM Server installiert wird.


Außerdem scheint der Bridge Mode nicht mehr zu funktioneren. Wobei ich nicht weiss ob es an der Firmware liegt. Am neuen Config File oder UM Allgemein was geändert hat.
Und obwohl im Log steht das Einstellungen vom Anbieter übertragen wurden, sind keine Rufnummer eingetragen. Muss man also selber machen.

Ansonsten läuft bis jetzt alles rund.

wwerner
Kabelexperte
Beiträge: 111
Registriert: 10.08.2013, 11:13
Wohnort: Alt-KabelBW-Land

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von wwerner » 14.02.2014, 22:23

Abend,
habe heute im Zuge einer Störungsmeldung (Sprachqualität bei VoIP) die 6.03 auf die 6360 draufbekommen (Reaktionszeit nach Anruf unter 30 Minuten!)
Also hat zumindest mal KabelBW erfolgreich die Tests abgeschlossen. Bis jetzt scheint alles zu klappen - nach der Rücksicherung meiner Konfiguration.
Gruß
Wolfgang
2play 200/10 Komf. IP V4
a/b:Fax & TFE mit MP3 Klingel mit Cambild der Tür auf MT-F/C5
DECT:2Fritz!Fon MT-F & 2C5 & 2C340H & 3AVM Rep.100 & 10 DECT200
S0-Bus:3 ISDN & 2 TA2a/b
WLAN:FB6490 & 2TL-WR1042ND als AP & 3AVM 1750E & 3AVM RE310
GB-LAN:FB64690 & 5Netgear GS108T
PCs an GB-LAN: WinServer2016 & 1Win7 PC & 11Win10 PCs / WLAN: WACOM WIN8.1 & mehrere Smartphones/Tablets/Laptops
bei Bedarf TV über SAT/Medienstreaming im Netzwerk mit ServiioPro

magentis
Übergeordneter Verstärkerpunkt
Beiträge: 575
Registriert: 15.03.2013, 09:00

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von magentis » 14.02.2014, 22:29

marty7 hat geschrieben:
Da tut sich ja was zwecks Update :

Code: Alles auswählen


Sicherheitslücke durch aktivierten Fernzugang bei der FRITZ!Box
Sicherheitshinweis von Unitymedia KabelBW:
Erste Kunden erhalten Updates – Fernzugang deaktiviert
Seit einigen Tagen ist bekannt, dass unautorisierte Dritte aufgrund einer Sicherheitslücke über den aktivierten Fernzugang auf die Fritzbox zugreifen können. Die Angreifer sind dadurch in der Lage, ein virtuelles IP-Telefon zu installieren und teure Telefonate ins Ausland auf Kosten des Anschlussinhabers zu führen. Über diesen Sachverhalt haben wir die identifizierten Kunden in den vergangenen Tagen informiert und ihnen geraten, den Fernzugang zu deaktivieren.

Wir haben von AVM ein Sicherheitsupdate erhalten, das den Zugang zur Fritzbox durch Fremde unterbindet, wenn der Fernzugriff aktiviert ist. An diesem Update haben wir in den vergangenen Tagen aus Sicherheitsgründen Kompatibilitätstests durchgeführt.
Am heutigen Freitag (14.2.2014) haben wir damit begonnen, das Update zur Beseitigung der Sicherheitslücke an unsere Kunden zu verteilen. Die Auslieferung erfolgt in mehreren Schritten, bis spätestens Ende nächster Woche wird die Aktualisierung abgeschlossen sein.

Da die Aktualisierung der betroffenen Geräte bei allen Kunden etwas Zeit in Anspruch nehmen wird, haben wir uns heute vorsichtshalber dazu entschieden, im Interesse unserer Kunden und im Rahmen einer Risikoabschätzung den Fernzugang auf den Fritzboxen zu deaktivieren, um möglichen Schaden von unseren Kunden abzuwenden.

Warum haben wir uns dazu entschlossen? Viele unserer Kunden sind unseren Hinweisen gefolgt. Dennoch registrieren wir nach wie vor offene Fernzugänge. Wir müssen davon ausgehen, dass es noch zahlreiche offene Fritzbox-Zugänge gibt, die möglicherweise in Vergessenheit geraten sind. Die Abschaltung erfolgt über das Protokoll TR-069, das den Datenaustausch zwischen unseren Systemen und den damit verbundenen Endgerät beim Kunden ermöglicht.

Wir möchten an dieser Stelle darauf hinweisen, dass jeder Kunde für seinen Anschluss verantwortlich ist. Wir raten daher dringlich unsere Sicherheitshinweise ernst zu nehmen und den Fernzugang auf den Fritzboxen deaktiviert zu lassen, solange das Update nicht aufgespielt ist. Die Versionsnummer der neuen Firmware nach dem Update ist „FRITZ!OS 06.03“.
 
Eine konkrete Empfehlung was Telefon-Kunden zu ihrem Schutz tun sollten haben wir hier in einer detaillierten Anleitung zusammengefasst
Weitergehende Informationen finden sich ebenfalls auf der Seite des Herstellers AVM
http://www.unitymedia.de/hilfe_service/ ... nderungen/

Und es gibt immer noch Kunden die bis heute keine Nachricht von UM bekommen haben. Auch im Spamordner ist nichts.
3Play Premium 100
DigitalTV Allstars + HD Option
Echostar Recorder
Cisco EPC 3208
Firmwarename: e3200-E10-5-v302r125562-130611c_upc.bin Jun 19 17:34:31 2013
Config-File: generic_100000_5000_ipv4_ncs_wifi-on.bin
Asus RT-N66U
Samsung UE40F6500
Sky Buli + Sport HD auf Sky Recorder
Synology DS213+

Die Moral von der Geschicht, traue keinen Versprechungen der UM-Hotliner.

Snuffchen
Kabelexperte
Beiträge: 133
Registriert: 02.10.2009, 09:05
Wohnort: Waldems
Kontaktdaten:

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von Snuffchen » 15.02.2014, 07:00

Hat zufällig schon jemand mit einem Businessanschluss und mehreren IP-Adressen auf seiner 6360 die neue 6.03 Firmware? Kann der Bridgemode nun auf einen einzelnen Port festgelegt werden und die anderen 3 normal mit einem 192.168.xxx.xxx Netz genutzt werden?

Gruss Patrick
Unitymedia Business Office Internet & Phone 400 (450 Mbit/s Download und 20 Mbit/s Upload)
AVM FRITZ!Box 6490 Cable, FRITZ!OS 06.50, AVM FRITZ!Box 7490, FRITZ!OS 6.51, AVM FRITZ!Box Fon WLAN 7270 v2, FRITZ!OS 6.06
FRITZ!WLAN Repeater 1750E, FRITZ!OS 06.32 AVM FRITZ!WLAN Repeater DVB-C, FRITZ!OS 06.32 AVM FRITZ!Fon C4, Firmware 3.68,
AVM FRITZ!Fon M2, Firmware 3.67, Gigaset S810H, Asterisk 11.13.1~dfsg-2+b1 auf Raspberry Pi 2 B

Gesperrt

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 3 Gäste