Kritische Sicherheitslücke in FritzOS kleiner als 6.30

In diesem Forum geht es um die Router für Kabel Internet FRITZ!Box 6320, FRITZ!Box 6340, FRITZ!Box 6360, FRITZ!Box 6490 & FRITZ!Box 6590 Cable der Firma AVM.
Antworten
Thasitis
Kabelneuling
Beiträge: 26
Registriert: 06.07.2009, 14:06

Kritische Sicherheitslücke in FritzOS kleiner als 6.30

Beitrag von Thasitis » 07.01.2016, 16:24

Wie heise.de soeben berichtet klafft in FritzOS unter Version 6.30 eine Sicherheitslücke, die es Angreifern von außen ermöglicht Telefonate über die FB zu führen oder Code als Root auszuführen. Leider steht in dem Artikel nichts über die Kabelboxen. Ich befürchte aber, dass diese auch betroffen sein könnten. Unsere 6360 hängt ja immer noch bei Version 6.04 fest und ein Update ist da wohl nicht in Sicht.

Link zum Artikel

GoaSkin
Glasfaserstrecke
Beiträge: 1200
Registriert: 12.12.2009, 16:25

Re: Kritische Sicherheitslücke in FritzOS kleiner als 6.30

Beitrag von GoaSkin » 07.01.2016, 16:44

Port 8080 ist bei der FB 6490 dicht.
Es gibt drei Fleischsorten: Beef, Chicken und Veggie. Von welchem Tier die kommen? Von garkeinem, sondern aus der Packung.

tq1199
Glasfaserstrecke
Beiträge: 1816
Registriert: 07.02.2014, 09:05

Re: Kritische Sicherheitslücke in FritzOS kleiner als 6.30

Beitrag von tq1199 » 07.01.2016, 17:57

Thasitis hat geschrieben:Unsere 6360 hängt ja immer noch bei Version 6.04 fest und ein Update ist da wohl nicht in Sicht.
Auch bei der 6360 mit 6.04, ist der tcp-Port 8080 dicht.
Zuletzt geändert von tq1199 am 07.01.2016, 19:51, insgesamt 1-mal geändert.
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note

Bredi
erfahrener Kabelkunde
Beiträge: 88
Registriert: 27.05.2011, 13:47

Re: Kritische Sicherheitslücke in FritzOS kleiner als 6.30

Beitrag von Bredi » 07.01.2016, 18:38

Der Artikel bei Heise ist absolut daneben und reisserisch aufgemacht.
Es wird in Gegenwartsform eine Lücke beschrieben, die letztes Jahr schon korrigiert wurde.
Wenn man richtig hinschaut erfährt man, dass "Sicherheitsforscher" jetzt eine Lücke veröffentlicht haben die letztes Jahr entdeckt und repariert wurde.

Desweiteren bezieht sich die Lücke auf den DSL-Modem Teil der Box, welcher bei Kabelboxen nicht existiert.
In der Auflistung der Modelle werden auch nur DSL-Boxen genannt.

Es hätte eigentlich gereicht darauf hinzuweisen, dass AVM Kunden prüfen sollten ob ihre Firmware aktuell ist, weil diese Lücke nun veröffentlicht worden ist.
AVM und Sicherheitslücke ergibt natürlich viel mehr Seitenaufrufe, immer schön reisserisch bitte.
Heise hat bald einen Abbonenten weniger.

Benutzeravatar
koax
Kabelkopfstation
Beiträge: 3970
Registriert: 09.12.2007, 10:43
Wohnort: Köln

Re: Kritische Sicherheitslücke in FritzOS kleiner als 6.30

Beitrag von koax » 07.01.2016, 19:32

Bredi hat geschrieben:Der Artikel bei Heise ist absolut daneben und reisserisch aufgemacht.
Es wird in Gegenwartsform eine Lücke beschrieben, die letztes Jahr schon korrigiert wurde.
Wenn man richtig hinschaut erfährt man, dass "Sicherheitsforscher" jetzt eine Lücke veröffentlicht haben die letztes Jahr entdeckt und repariert wurde.

Desweiteren bezieht sich die Lücke auf den DSL-Modem Teil der Box, welcher bei Kabelboxen nicht existiert.
In der Auflistung der Modelle werden auch nur DSL-Boxen genannt.

Es hätte eigentlich gereicht darauf hinzuweisen, dass AVM Kunden prüfen sollten ob ihre Firmware aktuell ist, weil diese Lücke nun veröffentlicht worden ist.
AVM und Sicherheitslücke ergibt natürlich viel mehr Seitenaufrufe, immer schön reisserisch bitte.
Heise hat bald einen Abbonenten weniger.
Und was von allem, das Du geschrieben hast, steht nicht in der Meldung?
Muss man eine Meldung etwas so aufbauen, dass auch die, die nicht einen Text erfassen können, damit klar kommen und das Weltbild der Fritzbox-Fans nicht zerstört wird.

Thasitis
Kabelneuling
Beiträge: 26
Registriert: 06.07.2009, 14:06

Re: Kritische Sicherheitslücke in FritzOS kleiner als 6.30

Beitrag von Thasitis » 07.01.2016, 21:30

OK, das bedeutet, dass die Kabelboxen nicht betroffen sind. Gut zu wissen und danke für die Infos. :super:

M@rtin
Übergeordneter Verstärkerpunkt
Beiträge: 572
Registriert: 27.05.2013, 19:38

Re: Kritische Sicherheitslücke in FritzOS kleiner als 6.30

Beitrag von M@rtin » 07.01.2016, 21:55

Schade, richtig schade... :D

Benutzeravatar
LinuxDoc
Kabelexperte
Beiträge: 160
Registriert: 10.05.2009, 16:07
Wohnort: Hessen

Re: Kritische Sicherheitslücke in FritzOS kleiner als 6.30

Beitrag von LinuxDoc » 07.01.2016, 22:01

Es handelt sich offenbar um die Lücke von letztem Jahr, nur hat man nun Details veröffentlicht.... Leider ist der Heise Artikel sehr verworren....
Und die Kabelboxen waren ebenfalls betroffen wimre... Aber alles schon länger gefixt


EDIT: aber 100% sicher bin ich mir nicht...

GoaSkin
Glasfaserstrecke
Beiträge: 1200
Registriert: 12.12.2009, 16:25

Re: Kritische Sicherheitslücke in FritzOS kleiner als 6.30

Beitrag von GoaSkin » 07.01.2016, 23:01

Zuletzt sollte man fairerweise erwähnen, dass es sehr schwierig ist, sich diese Lücke als Angreifer überhaupt zu nutzen. Über die Fritzbox telefonieren zu können setzt voraus, das man sich (z.B. über einen ebenfalls löchrigen PC) Zugriff zu einem Heimnetz verschaffen hat. i.e.S. ist ein Rechner mit eigener Malware drauf erforderlich.
Es gibt drei Fleischsorten: Beef, Chicken und Veggie. Von welchem Tier die kommen? Von garkeinem, sondern aus der Packung.

Benutzeravatar
LinuxDoc
Kabelexperte
Beiträge: 160
Registriert: 10.05.2009, 16:07
Wohnort: Hessen

Re: Kritische Sicherheitslücke in FritzOS kleiner als 6.30

Beitrag von LinuxDoc » 07.01.2016, 23:20

https://avm.de/service/aktuelle-sicherheitshinweise/

Aktuell nichts vermerkt zu dem Thema bei AVM.



Bei denen die die Lücke gefunden haben:
Timeline
========

2015-02-26 Vulnerability identified
2015-03-26 CVE number requested
2015-03-26 Vendor notified
2015-04-30 RedTeam Pentesting reviewed fixed version by order of vendor
2015-06-09 Vendor released fixed public beta (7490)
2015-07-16 Vendor started releasing fixed versions (7360 and 7490)
2015-10-01 Vendor finished releasing fixed versions (other models [0])

2015-11-27 Advisory release postponed to maximize patch distribution
2016-01-07 Advisory released
Quelle: https://www.redteam-pentesting.de/en/ad ... r-overflow

Scheint wohl alles schon gefixt zu sein und wie vermutet nur jetzt erst offizielle veröffentlich worden.

Benutzeravatar
koax
Kabelkopfstation
Beiträge: 3970
Registriert: 09.12.2007, 10:43
Wohnort: Köln

Re: Kritische Sicherheitslücke in FritzOS kleiner als 6.30

Beitrag von koax » 08.01.2016, 22:27

LinuxDoc hat geschrieben:Scheint wohl alles schon gefixt zu sein und wie vermutet nur jetzt erst offizielle veröffentlich worden.
Was gibt es da noch zu vermuten, wenn genau dieser Fakt in der Meldung steht?

Benutzeravatar
koax
Kabelkopfstation
Beiträge: 3970
Registriert: 09.12.2007, 10:43
Wohnort: Köln

Re: Kritische Sicherheitslücke in FritzOS kleiner als 6.30

Beitrag von koax » 08.01.2016, 22:34

LinuxDoc hat geschrieben: Aktuell nichts vermerkt zu dem Thema bei AVM.
Doch:
AVM hat geschrieben:Command-Injection-Möglichkeit aus dem LAN bzw. über CSRF behoben.
Betrifft in [1] genannte Produkte. Vielen Dank an RedTeam GmbH für die Meldung.
[1] FRITZ!Box 3272/7272, 3370/3390/3490, 7312/7412, 7320/7330 (SL), 736x (SL) und 7490
Es handelt sich offenbar um die Lücke von letztem Jahr,
Wahrscheinlich meinst Du mit "Lücke vom letzten Jahr" die Lücke von 2/2014.

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 3 Gäste