Sicherheitshinweis AVM

Inzwischen kann der Routerhersteller AVM den Weg der Angreifer nachvollziehen. Es handele sich um einen gezielten Angriff auf Funktionen, die über den Port 443 realisiert werden - insbesondere ist hier der MyFRITZ-Dienst zu nennen. AVM bestätigt in einer Pressemitteilung auch, dass Passwörter entwendet wurden. Die Sicherheitslücke betrifft alle Router, bei denen der Nutzer den MyFRITZ-Dienst oder den Fernzugriff eingeschaltet hat. Allen Anwendern empfiehlt der Hersteller, Passwörter zu ändern, sofern diese mit MyFRITZ in Verbindung stehen - weil sie beispielsweise auch bei anderen Diensten zum Einsatz kommen.

Ab dem Wochenende sollen für erste Modelle Firmware-Updates zur Verfügung stehen, die die Sicherheitslücke schließen sollen. Dann sei auch der MyFRITZ-Dienst wieder sicher - sofern die Passwörter geändert sind. Bis ein Firmware-Update für den eigenen Router veröffentlicht ist, empfiehlt AVM, den Port 443 zu schließen. Konkret heißt dies, die Funktion "Internetzugriff auf die FRITZ!Box über HTTPS" zu deaktivieren

 

Für folgende FRITZ!Box-Modelle gibt es bereits ein Update:

 

• FRITZ!Box 7490
• FRITZ!Box 7390
• FRITZ!Box 7270 v2/v3
• FRITZ!Box 7240

 

Wichtig:

 

• Falls Sie zuvor den Fernzugriff (MyFRITZ! und HTTPS) nicht verwendet haben, brauchen Sie nichts weiter zu tun.

 

 

Hier sei auch gesagt, für die 7390 mit O2 Branding kann die Firmware von AVM eingespielt werden. Hierzu ist ein warten auf die Freigabe von O2 nicht nötig. Dazu die Firmware bei AVM laden und unter System als manuelle Firmware Datei einspielen.

 

Es heißt auch in der Meldung, man solle die Sip Passwörter in der Fritz Box ändern. Was mich nun interessieren würde ist, ob das auch für die alten o2 Verträge mit eigener Fritzbox gilt? Nehmen wir einmal an, es war den Hackern möglich die Daten auszulesen, können die dann mit den Sip Daten etwas anfangen oder ist das bei O2 ausgeschlossen (nomadische Nutzung?)?

Vielen Dank für die Erläuterung. Es ist keine "offizielle" Fritzbox. Mein offizieller Comfort Router ging vor einigen Monaten in Rauch auf . Ich habe dann die Hotline angerufen und die konnten mir keinen geeigneten Router mehr verkaufen, ausser eben die 72xx zu 195 Euro. Das war mir zu teuer. Daher hatte ich mir die 7330 für um die 100 Euro gekauft und die Voip Daten nach Anleitung der Hotline selbst eingetragen. Läuft wunderbar. Den Fernzugang hatte ich zufällig vor ca. 2 Wochen entdeckt und aktiviert, damit wir einige Fotos auf dem angesteckten USB Stick für die Familie verteilen können.... So ein Pech, ich wollte erst nicht. Inzwischen ist der  Fernzugriff ausgeschaltet, die  Passwörter habe ich geändert, auch die Sip-Passwörter von den anderen Voip Provider wie Sipgate / DUS. Dort kann man das machen. Bei O2 nicht, daher meine Frage, ob die überhaupt von irgendwo anders verwendet werden können. Da ja nicht Prepaid wie die anderen Anbieter könnten hier horrende Gebühren anfallen. Fände es schön, wenn jemand offizielles von O2 bestätigen könnte, dass selbst bei Diebstahl der VOIP Daten nichts passieren kann, da diese an den eigenen DSL Anschluss gebunden sind, nur so als endgültige Beruhigung.

BTW, bis jetzt für die 7330 noch kein Update

andreas_hd schrieb:
 

BTW, bis jetzt für die 7330 noch kein Update

Nicht? Ich denke doch

 

https://

 

Mach ein Online Update über die Oberfläche der Box

Für Leute, die auf ihrer 7270 statt der 5.xx-Firmware lieber die allerneueste 6.xx-Beta verwenden wollen, gibt es auch ein Update, nämlich die Version FRITZ!OS 06.04-27396 BETA. Das Autoupdate funktioniert ja leider bei o2-gebrandeten 7270ern nicht. Es gibt zwar neuere Firmwaes mit o2-Branding, diese sind aber nicht offiziell von o2 freigegeben.

 

Die Frage, ob für die alte offizielle 7270er-Firmware überhaupt eine Sicherheitslücke besteht, konnte leider noch nicht geklärt werden.

 

Gruß

 

akapuma

nemesis03 schrieb:
Ist diese Firmware nicht für die 7240?

Ups - Du hast Recht. Hatte den falschen Link gepostet. Hab's korrigiert.

 

Danke!

 

Gruß

 

akapuma

pq303 schrieb:Hast Du zu der Version: FRITZ!OS 06.04-27396 BETA

ggf. weitere informationen? Ist die bekannt gewordene Sicherheitslücke dort ebenfalls geschlossen?

Diese Version ist extra dafür herausgekommen, um die Sicherheitslücke zu schließen. Da es diese nicht zum "normalen" Download als ZIP gibt, liegt leider auch kein Changelog bei.

 

 

pq303 schrieb:
Handelt es sich um eine o2 geprüfte / gebrandete Version oder eine AVM Version?

o2 prüft keine neuen Firmwares mehr. Die "ganz alte" bleibt die einzig freigegebene.

Es gibt keine gebrandeten Firmwares. Das Branding steckt in der Box, nicht in der Firmware. Die Firmware muß lediglich das Branding der Box unterstützen. Die verlinkte Firmware unterstützt auf jedem Fall das AVM-Branding sowie das o2-Branding, und mutmaßlich auch das 1&1-Branding.

 

Gruß

 

akapuma

TomTommes schrieb:
Habe heute meine 7270 v3 (O2) problemlos auf 74.05.54 (05.54) manuell updated, keine Probleme.

Warum auch? Die Firmware selbst ist ja nicht anders. Wie AKA schon sagte, dass Branding ist ein Speicherbereich in dem die Daten liegen wo die Box die Telefoniedaten usw laden kann. Die Firmware selbst ist nicht verändert.

Danke für den Link. Leider ist die automatische Verlinkung kaputt.

Entschludigung link war / ist verkehrt .

Datum der Datei ist aber der 10.02.

Ich konnte Gestern bzw. Vorgestern nichts finden !

bkb schrieb:
Ich konnte Gestern bzw. Vorgestern nichts finden !

Nein, denn im Beta-Bereich ist die Firmware tatsächlich ganz frisch.

 

Seit vorgestern Abend steht die neue beta aber als Online-Update zur Verfügung. Leider können Kunden mit o2-gebrandeter Box keine Online-Updates nutzen. Einen Direktlink hatte ich gestern hier gepostet.

 

Gruß

 

akapuma

 

 

 

In Anbetracht dessen, daß AVM sebst für die uralte 7570 (nicht identisch mit dem IAD 7570) ein Update herausgebracht hat, ist zu vermuten, das auch die offizielle o2-Firmware 74.04.86 betroffen ist. In diesem Fall sollte sich o2 etwas einfallen lassen. An sich bleibt wohl nur die Möglichkeit, die aktuelle 74.05.54 zum Download freizugeben, so daß die Boxen sich automatisch aktualisieren können.

 

Gruß

 

akapuma

Ich denke mal, eine 7570 und ein IAD 7570 kann man überhaupt nicht vergleichen. Die 7570 ist eine FritzBox mit den Funktionen einer FritzBox. Ein IAD 7570 hingegen hat eine Firmware, die kaum Funktionen hat, und nichtmal die Hardware ganz unterstützt. Sogar die W920V-Variante der Telekom ist leistungsfähiger. Was sollte man beim IAD hacken? Die Box kann doch nix.

 

Gruß

 

akapuma