FRITZ!Box OS 7.57 dringend angeraten (06.09.2023 | Update 02.10.2023) |
Zum 04.09.2023 hat der Hersteller AVM sein FRITZ.OS in der Version 7.57 für unterstützte Router freigegeben. Es wird gemutmasst, dass damit eine gravierende Schwachstelle bzgl. Port 443 (Fernzugriff auf den Router ohne VPN) geschlossen wird. Unklar ist, ob die Freigabe für den Zugriff von aussen aktiviert sein muss... AVM hält sich bedeckt (siehe auch Update vom 02.10.2023 weiter unten). Die Installation ist jedoch sicherheitshalber sehr empfohlen und sollte zeitnah durchgeführt werden! |
Offensichtlich wird die Sicherheitslücke bereits in freier Wildbahn aktiv ausgenutzt. Die Geschichte scheint wirklich wichtig und brisant zu sein, was sich schon allein daran zeigt, dass gemietete Fritzbox-Router z.B. des Providers Vodafone das Update bereits ausliefern. Und die sind dafür bekannt, sich normalerweise mit Firmware-Updates sehr viel Zeit zu lassen (hier hat der Anwender keinen Einfluss auf das Update). Denn bis gestern war auf den meisten Fritzboxen von Vodafone noch die Uralt-Version 7.29 installiert... Bei Vodafone gibt es aber - wie schon von früher gewohnt- ein Problem mit dem eigenen, selbst eingespielten Update: Eingerichtete Zugänge über VPN (IPSec) funktionieren mit der neuen Version nicht mehr (gab es auch schon vor Version 7.29). Das ist bei frei käuflichen Fritzboxen mit OS 7.57 anders, hier funzt noch alles (das eine wie das andere konnten wir bei Kunden genauso feststellen). Das ist sehr ärgerlich für kleine Firmen des ISP Vodafone, die bisher das VPN über IPSec genutzt haben und jetzt erst einmal ohne Vorankündigung im Regen stehen. Aber es gibt Abhilfe, siehe nächsten Absatz. Von Nachfragen bei Vodafone, warum das so ist, raten wir ab, weil man dort (wie immer) keinen kompetenten Ansprechpartner findet, der einem hierzu etwas Erhellendes mitteilen könnte. Wir haben den Eindruck, die wissen selbst von diesem Problem noch nichts. Vodafone-Kunden müssen jetzt auf Wireguard-VPN ausweichen (bereits seit OS-Version 7.50 von AVM parallel zu IPSec angeboten, leider sehen das die meisten Vodafone-Kunden jetzt zum ersten mal), was ohnehin, wegen der Performance und Sicherheit, zu empfehlen ist (auch für andere Fritzbox-Nutzer). Freikäufer eines Fritzbox-Routers konnten ja bereits seit längerem umstellen, weil hier die OS-Versionen 7.5x stets sehr zügig angeboten wurden. Update 02.10.2023: Mittlerweile ist durchgesickert, dass sich die - mit Version 7.57 geschlossene - Lücke selbst dann ausnutzen lässt, wenn der Fernzugriff auf das Webinterface der Fritzbox deaktiviert ist. Der Zugriff ist ohne Passwort möglich und es kann die komplette Konfiguration der Fritzbox überschrieben werden! Dafür muss der Angreifer sein Opfer nur auf eine präparierte Website lotsen, die auf das Webinterface im lokalen Netzwerk verweist, z.B. durch eine einfache Umleitung oder per Cross-Site-Request-Forgery (CSRF). |
Kommentare (6) zu diesem BLOG-Eintrag |