Hello, Guest the thread was called3.9k times and contains 57 replays

last post from Nobody at the

FritzBox Update !!!

  • Und schon haben alle ihren Bundestrojaner ;-)
    Allemal aber die Filterliste der BPjM ...


    Leider reichen meine Programmierkünste eben nicht aus, um mir mal eben eine eigene Fritz- Firmware selbst zu schreiben, die dann auch wirklich sicher ist.
    Vieleicht hast du ja für meine 7170 und 7390 noch eine passende, ohne Trojaner :thumbsup: .

  • Nein, angeblich ging es, laut Heise, eben auch ohne das Passwort zu kennen auf die Box zu kommen. Und ich bin mir jetzt nicht sicher aber ich glaube den Fernzugang kann man ohne Passwort gar nicht aktivieren.
    Allerdings hätte es wahrscheinlich schon viel geholfen den Port (443) für den Fernzugriff zu ändern. Standard Zugänge sind immer kritisch.

  • Nein, angeblich ging es, laut Heise, eben auch ohne das Passwort zu kennen auf die Box zu kommen. Und ich bin mir jetzt nicht sicher aber ich glaube den Fernzugang kann man ohne Passwort gar nicht aktivieren.
    Allerdings hätte es wahrscheinlich schon viel geholfen den Port (443) für den Fernzugriff zu ändern. Standard Zugänge sind immer kritisch.


    AVM schrieb am 03.02.14 folgendes:


    Quote

    Nach der gegenwärtigen Kenntnislage können wir Folgendes sagen: Ein Zugriff von außen ist generell nur dann möglich, wenn der HTTPS-Fernzugriff (Port 443) oder der MYFRITZ!-Dienst im Router aktiviert wurde. Dazu muss der Angreifer die Mailadresse und das Passwort kennen. Sind diese nicht bekannt oder wurde der Zugriff von außen nicht aktiviert, erfolgte bisher kein Zugriff auf die FRITZ!Box.


    Es schent tatsächlich möglich gewesen zu sein, ohne Passwort die FritzBox zu verwalten. Aber, warum waren es dann nur ein paar wenige Geräte ? Heise liefert darauf leider auch keine Antwort.

  • Der aktuelle Stand ist, man konnte sich in die Fritzbox einloggen ohne User und Password zu kennen sobald der Fernzugriff aktiviert war.


    Details wie das funktionierte gibts noch keine, die werden kommen sobald die Leute lange genug die Chance hatten das Update einzuspielen.


    Warum so wenige? Nun, man muss erstmal eine vom weiten Netz aus eine Fritzbox finden die den Fernzugang freigeschaltet hat.

  • Ich denke auch dass es kein großes Problem ist wahllos Domains in Deutschland auf dem Port 443 abzuklappern und zu sehen wann eine Fritzbox reagiert. Wenn man dann noch einen Kniff weiß wie man um die Passwortabfrage herum kommt ist es kein Problem mehr alles an der Box zu stellen wie man es braucht.
    Sogar einen eigenen Benutzerzugang kann man sich einrichten. Was bedeuten würde dass man nach einem Firmwareupdate, das nur die Passwortlücke schließt, immer noch mit dem angelegten Benutzerkonto auf die Box zugreifen könnte.
    Also ich würde auf jeden Fall nicht nur checken ob ein fake Telefoniegerät angelegt wurde sondern auch ob irgendwelche unbekannten Benutzer eingetragen wurden.

  • Meine Firmware-Update-Funktion unter Fritz.Box sagt mir schon seit geraumer Zeit es gäbe keine und sie sei aktuell (111.05.22) -


    auf deren Homepage les ich gerade die aktuelle Version ist 124.06.03 !!!! Ohne jetzt in den Changelog zu schauen vermute ich anhand der Zahlen, das da wohl auch mehrere Versionen zwischen liegen werden!


    Interessant................ :!:


    Weiterhin ist es mir auch gerade nicht möglich, fritz.box über den Browser aufzurufen, geht ausschliesslich über http://192.168.178.1 - jemand eine Idee woran das liegen kann? Ich werd mal eben einen Changelog der Firmware suchen und schauen wieviele ich verpasst hab.....




    Edit: Cool, die Firmware ist nur für die AVM-Edition...und wo bekomm ich eine für die EWE-Edition her?! Was ist das wieder für ein Schwachsinn???? Kann ich manuell die von der ´normalen´ nehmen? Ist da irgendeine Sperre drin? Wo ist da schonwiede der Unterschied? Oder sind dann die Einwahldaten weg? Gut gemacht, auf deren Homepage find ich grad nichts zu meiner Box......das nenn ich Kundenfreundlich und übersichtlich :thumbdown:


    Edit:

    Gut, also für mich noch keine neue Firmware :) Idioten, fühl mich grad wie mit einem gebrandeten Handy...hasse diesen Brandingwahn...sehr praktisch auch gerade in solchen Fällen, und wenn bei EWE jetzt die letzten Bummler arbeiten? Kann ich mal auf die Spitze getrieben 4 Wochen länger auf ein evtl. wichtiges Update warten??!


    Meine Frage bleibt also bestehen, wie ´entbrande´ ich den Mist und bekomm da ne ´normale´ FW drauf? Werd mich diesbezüglich jetzt erstmal informieren.

  • Zipcom:
    Nicht einzelne Domains, ganze IP-Ranges was nichtmal lange dauert :)


    Wollte jetzt Mal die Probe auf's Exempel machen und habe eine Abfrage nur in dem Subnet gestartet, indem ich mich gerade selbst befinde. Also außer mir noch 253 mögliche Hosts. Dauerte ca. 1 Minute und lieferte mir 3 Hosts, deren Port 443 offen ist. Einer davon hostet 'ne Website eines Gymnasiums.


    Wenn man das jetzt ein paar Tage macht, hat man angreifbare Fritz!Boxen im Überfluss :bgdev

  • Und ich sags ja - Autoupdate ist fürn Arsch - aber so richtig!!!


    Auch laut EWE-Changelog müsste meine Firmware 111.05.50 sein - und nicht 111.05.22 ... :lol23:


    Edit: Hab jetzt einfach mal 2 Mails an den AVM-Support geschrieben mit der Bitte um Erklärung und dem Hinweis, das ich mich mit deren Produkt gerade sehr sicher fühle....bin sehr gespannt.



    Edit: So, und wieder da. Manuelles update auf die augenscheinlich vorletzte(!) Firmware von EWE (derzeit!, die/eine neuere ist ja in Arbeit und die letzte ... .51 hab ich auf die schnelle nicht gefunden) von EWE hat funktioniert - ich kann jedem nur raten, seine Firmware manuell mal zu überprüfen!


    Und ich werd mich jetzt mal näher mit dem debranding auseinandersetzen...kann ja nicht angehen.

  • @Nobody:


    Für die EWE-Boxen gibt es im Service-Bereich der EWE-Seite Firmwareupdates.
    Die neuste, sichere Version ist für den 17ten angekündigt und ja, die Autoupdate funzt bei der EWE-Edition nicht.


    Entbranden kannst du die Version, musst mit einem Recovery-Image den Router booten - Anleitungen gibt es im Netz. Bedenke aber, dass Du dann natüprlich keine Garantie hast, denn auch die AVM Garantie in der Regel von 3 Jahren dürfte nicht helfen, denn erstens selbst verschuldet und zweitens ist es ja eine OEM-Version.


    Also erstmal ruhig durchatmen und nicht nur schimpfen - ist alles nur halb so wild. Das ist halt der Preis einer vergünstigten FritzBox.


    Grüße

  • Ok, bestätigt auf jeden Fall das was ich (leicht säuerlich) schon rausgefunden hab :)


    Ja, tue ich auch, mir auch gedacht ´atme mal durch´ und warte drauf was der Support schreibt. Ist zwar im Grunde auch der falsche - aber nichtsdestotrotz letzten Endes ihre Hardware, die sie EWE zur Verfügung stellen.


    Die Werbung wäre ja gar nicht mal so schlimm - aber das ich bei sicherheitsrelevanten Funktionen/Updates auf EWE warten muss ist schon...naja ^^
    Aber egal, ist jetzt eben wie es ist.