{"id":285898,"date":"2023-09-12T17:00:39","date_gmt":"2023-09-12T15:00:39","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=285898"},"modified":"2023-09-17T09:44:17","modified_gmt":"2023-09-17T07:44:17","slug":"neues-zum-fritzos-7-57-7-31-sicherheitsupdate-breiteres-rollout-mgliche-probleme","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/09\/12\/neues-zum-fritzos-7-57-7-31-sicherheitsupdate-breiteres-rollout-mgliche-probleme\/","title":{"rendered":"Neues zum FRITZ!OS 7.57 (7.31) Sicherheitsupdate: Breiteres Rollout, mögliche Probleme"},"content":{"rendered":"

\"SicherheitZum 4. September 2023 wurde vom Berliner Hersteller AVM ja \u00fcberraschend ein Sicherheitsupdate f\u00fcr diverse FRITZ!Box-Modelle ver\u00f6ffentlicht. Inzwischen hat eine breite Phalanx an Modellen (selbst uralte FRITZ!Box-Modelle) dieses Sicherheitsupdate erhalten. In den letzten Tagen waren die FRITZ!Repeater an der Reihe und mir liegen auch Leserhinweise vor, dass FRITZ!Boxen von Vodafone-Kabelkunden das Sicherheitsupdate bekommen. Zeit, f\u00fcr eine neue Zusammenfassung des Sachstands und auch die Frage, ob es gr\u00f6\u00dfere Probleme nach dem Update gab. Mir liegen Berichte vor, dass FRITZ!Box-Modelle in eine Boot-Schleife gingen.<\/p>\n

<\/p>\n

Authentication Bypass-Schwachstelle in FRITZ!OS<\/h2>\n

\"\"Ich hatte es im Blog-Beitrag FRITZ!OS 7.57 (7.31) als Sicherheitsupdate schlie\u00dft schwerwiegende Sicherheitsl\u00fccke<\/a> aufgegriffen: Von AVM gab es zum 4. September 2023 ein Update auf FRITZ!OS 7.57 (oder FRITZ!OS 7.31 bei einigen Modellen), wobei der Hersteller nur etwas von \"notwendigem Stabilit\u00e4ts- und Sicherheitsupdate\" schrieb.<\/p>\n

Meinen Informationen zufolge gibt es in \u00e4lteren Firmware-Versionen eine Authentication Bypass-Schwachstelle, so dass Angreifer per Internet die Ger\u00e4te \u00fcbernehmen k\u00f6nnen. AMV hat aber bisher nicht auf meine Presseanfrage mit Bitte um Best\u00e4tigung der Ausf\u00fchrungen in obigem Blog-Beitrag geantwortet.<\/p>\n

Wer noch kein Update hat, sollte sicherstellen (sofern machbar), dass der Port 443 auf der WAN-Seite f\u00fcr den Zugriff von au\u00dfen geschlossen ist (siehe auch<\/a>). Dann scheint die Schwachstelle nicht ausnutzbar zu sein.<\/p><\/blockquote>\n

Breiter Rollout des Update<\/h2>\n

Aber es scheint etwas dran zu sein, denn auch f\u00fcr \u00e4ltere FRITZ!Box-Modelle (7390<\/a>, 7412<\/a>), die l\u00e4ngst aus dem Firmware-Support gefallen sind, steht das Update zur Verf\u00fcgung. Allerdings bekommen wohl nicht alle Router dieses Firmware-Update automatisch. Ich habe mal eine \u00e4ltere FRITZ!Box 7412, die ich hier noch von 1&1 verf\u00fcgbar und als Repeater konfiguriert habe, \u00fcberpr\u00fcft. Automatisch wurde aber noch nichts installiert – die Firmware ist noch auf FRITZ!OS 06.87 – aktuell w\u00e4re aber 06.88.<\/p>\n

Inzwischen bekommen auch verschiedene AVM-Repeater der FRITZ!-Modellreihe das Firmware-Update mit dem Sicherheitsfix. Dieser Kommentar<\/a> und der Artikel hier<\/a> bei deskmodder.de vom 8. September 2023 berichten \u00fcber das Update der Repeater-Modelle (und der FRITZ!Box 5530 Fiber). Und seit heute sind auch die Powerline-Adapter von AVM mit dem Firmware-Update dran – wie ich bei deskmodder.de<\/a> mitbekommen habe.<\/p>\n

An dieser Stelle verweise ich interessierte Blog-Leser auf diesen Forenseite<\/a> im iPhone-Forum. Die Mitglieder haben dort eine aktualisierte Liste aller AVM-Komponenten, die ein Firmware-Update erhalten k\u00f6nnen, aufgelistet und mit Download-Links auf die aktuelle Version der FRITZ!OS-Firmware verlinkt. Sofern eine Ger\u00e4t nicht automatisch aktualisiert wird, l\u00e4sst es sich ggf. manuell aus einer Image-Datei updaten. Mein FRITZ!Powerline 1220E-Adapter ist aber wohl noch nicht bei den Firmware-Updates dabei.<\/p>\n

Wie sieht es mit Vodafone-Ger\u00e4ten aus?<\/h2>\n

FRITZ!Box Cable-Boxen, die \u00fcber Vodafone f\u00fcr Kabelanschl\u00fcsse bereitgestellt wurden, sind ja mit einer \"gebrandeten\" Firmware versehen, die der Nutzer oder AVM nicht selbst aktualisieren kann. Vodafone muss also die AVM-Firmware ggf. anpassen und ausrollen. Ein Blog-Leser hatte bei Vodafone diesbez\u00fcglich nachgefragt und erhielt folgende Antwort:<\/p>\n

Das Thema Fritzbox-Firmware 7.57 und 7.31 ist uns bekannt. Unsere Technik-Experten befinden sich bereits im direkten Austausch mit dem Hersteller AVM, um eine sichere und nachhaltige L\u00f6sung herbeizuf\u00fchren.<\/p><\/blockquote>\n

Der Leser bekam dar\u00fcber hinaus nichts Konkreteres, dem Vodafone-Support war die Problemstellung auf Nachfrage nicht bekannt. Der Leser hatte dann ein Ticket beim Vodafone-Support er\u00f6ffnen lassen und schrieb mir:<\/p>\n

Es ist zu empfehlen, dass jeder, der von dieser Sicherheitsl\u00fccke Kenntnis hat, bei Vodafone ein Ticket \u00fcber die Hotline er\u00f6ffnet (Bedingung: Leihger\u00e4t von Vodafone), weil damit die Haftung zu Vodafone als Verantwortlicher Betreiber der Ger\u00e4te, verlagert wird.<\/p><\/blockquote>\n

In der Zwischenzeit hat Vodafone aber mit dem Ausrollen der FRITZ!OS-Firmware auf seine Mietboxen begonnen. Ein Blog-Leser schrieb in diesem Kommentar<\/a>, dass seine Vodafone FRITZ!Box 6690 Cable als Mietbox zum 5. September 2023 das Firmware-Update auf auf 7.57 bekommen habe. Auch in diesem Kommentar<\/a> gibt es \u00e4hnliche Hinweise mit Verweise auf das Vodafone-Forum. Zum 8. September 2023 wurde in diesem Kommentar<\/a> das Update einer Vodafone FRITZ!Box 6691 Cable als Mietbox best\u00e4tigt. Interessant ist dort der Hinweis, dass ein Neustarten der Mietbox dort das Firmware-Update getriggert zu haben scheint. Diese Information ist mir auch von einem Leser per Mail zugegangen. Weitere Folgekommentare best\u00e4tigen das Firmware-Update bei anderen Nutzern.<\/p>\n

Gab es Probleme?<\/h2>\n

An dieser Stelle noch eine Nachfrage, ob es bei der Leserschaft Probleme nach dem Update der Firmware gab. Bei heise habe ich in den Kommentaren (z.B. hier<\/a>) mitbekommen, dass einige Betroffene in eine Boot-Schleife bei der FRITZ!Box geraten sind, nachdem das Firmware-Update installiert wurde. Andere Leser berichteten, dass das WLAN weg war und hier im Blog gibt es diesen Kommentar<\/a>, dass das Internet auf WLAN-Anschl\u00fcssen danach fehlte. Und hier<\/a> moniert jemand den Eintrag einer unbekannten App im Log – was aber wohl Zugriffe von AVM sind. Also: Wenn es Ungereimtheiten oder Probleme gab, her damit und einen Kommentar hinterlassen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Zum 4. September 2023 wurde vom Berliner Hersteller AVM ja \u00fcberraschend ein Sicherheitsupdate f\u00fcr diverse FRITZ!Box-Modelle ver\u00f6ffentlicht. Inzwischen hat eine breite Phalanx an Modellen (selbst uralte FRITZ!Box-Modelle) dieses Sicherheitsupdate erhalten. In den letzten Tagen waren die FRITZ!Repeater an der Reihe … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,426,185],"tags":[5999,3081,4328,4315],"class_list":["post-285898","post","type-post","status-publish","format-standard","hentry","category-gerate","category-sicherheit","category-update","tag-fritzos","tag-geraete","tag-sicherheit","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285898","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=285898"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285898\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=285898"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=285898"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=285898"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}