AVM Fritz!Box: Fritz!OS 7.57 und 7.31 schließen ausgenutzte Sicherheitslücke

[biznizläuft]

Hier aktuelle News dazu

https://www.heise.de/news/Fritzbox-Firmware-7-57-und-7-31-von-AVM-dichten-Sicherheitsluecke-ab-9294758.html

https://www.computerbase.de/2023-09/avm-fritz-box-fritz-os-7-57-und-7-31-schliessen-ausgenutzte-sicherheitsluecke/

https://avm.de/service/update-news/download/product/fritzbox-7530/

 

 

Wie in anderen Threads schon beschrieben

• hier nochmal der Weg wie das Update klappt.

https://community.magenta.at/topic/6040-fritzbox-7530-upc-branding-firmware-upgrade-auf-720/?_fromLogin=1#elControls_42030_menu

0) FRITZ.Box_7530-07.25.image direkt beim Hersteller AVM herunterladen

1) DSL-Kabel aus der Telefonbuchse (offline)

2) Anbieter "UPC" umstellen auf "andere Anbieter"

3) System - Update - Datei

4) Backup erstellen

5) image-Datei auswählen und warten

6) Anbieter wieder zurück auf "Magenta" (!) stellen

7) DSL-Kabel wieder in Telefonbuchse stecken und warten

 

• hier das aktuelle image (meiner 7530)

https://download.avm.de/fritzbox/fritzbox-7530/other/fritz.os/

andere images einfach aus der Liste in den Artikeln oder vom Hersteller raussuchen und darauf achten das beim Land "other" verwendet wird

 

 

Hab meine Fritzbox 7530 mit Version 7.13 (von 2/2020) auf 7.57 aktualisiert (hatte noch ein so altes Image weil der Anschluss erst ne Woche alt ist)

Die DSL-Syncwerte sind auch mit +10Mbit im Download gestiegen. Waren vorher bei 66/15 sind nun bei 76/15 

 

 

Macht bitte das Update (wenn's Magenta nicht von selbst macht).

 

LG

 

Bearbeitet September 5, 2023 von biznizläuft

[enks]

Habe das Update selbst vor knapp 2 Stunden auf meiner Fritzbox 7530 durchgeführt.

Funktioniert, hatte aber bei mir den Nachteil, dass die Fritzbox nach dem Update die Systemzeit nicht mehr mit einem externen NTP-Server synchroniseren konnte.

Die von AVM vorgeschlagenen Maßnahmen (Hier nachlesbar) halfen leider nicht.

Lösung für mich ist aktuell, dass ich meinen eigenen Unraid-Server als NTP-Server verwende indem ich im Zeitserver-Feld die lokale IP des Unraid-Servers eingetragen habe.

[Filostrato]

Das gleiche Problem mit nicht mehr erreichbaren öffentlichen NTP-Servern im Internet hatte ich nach dem manuellen Update auf Release 7.57 auf der 7583 VDSL. Ich musste wieder auf die Firmware 7.50 downgraden. Nachdem es sich hier dem Vernehmen nach um eine gravierende Sicherheitslücke handelt, sollte Magenta dringend eine Lösung anbieten und funktionierende  aktuelle Firmware Updates zum Download für die Fritz!Boxen so bald wie möglich zur Verfügung stellen.

Bearbeitet September 5, 2023 von Filostrato

[enks]

Hast du kein Gerät in deinem Netzwerk welches als NTP-Server dienen könnte?

NAS von Synology und QNAP haben diese Funktion auch integriert, sie muss lediglich in den Einstellungen aktiviert werden.Man könnte ebenso einen Windows 10 Rechner als NTP-Server verwenden, allerdings ist die Einrichtung lt. meinen Recherchen im Vergleich zu den genannten Möglichkeiten doch recht aufwendig und ich weiß nicht wie oft die Fritzbox die Systemzeit synchronisiert, da könnte es ev. zum gleichen Problem kommen, falls der Windows 10 Rechner mal eine längere Zeit nicht im Betrieb ist (Bei NAS und anderen Servern gehe ich von Dauerbetrieb aus).

Bezüglich offiziellem Firmware-Update kann ich dir nur zustimmen, ich finde die Update-Politik von Magenta ehrlich gesagt sehr enttäuschend. Ich habe die Fritzbox 7530 seit Ende 2019 in Betrieb und war bis heute auf Firmware 7.13 unterwegs, weil seitens Magenta keine Updates angeboten wurden. Wenn schon Routerzwang dann bitte auch das System entsprechend mit Updates versorgen

[Filostrato]

Am 6.9.2023 um 00:39 schrieb enks:

Hast du kein Gerät in deinem Netzwerk welches als NTP-Server dienen könnte?

Ein solcher Workaround wäre natürlich möglich.
Bei Release 7.50 sind die Verbindungen zu NTP-Servern im WAN problemlos möglich.
Dieser Fehler sollte also schnellsten behoben werden.

[biznizläuft]

also NTP bräuchte ich auf der box garnnicht. die zeitschalt-features etc werden nicht genutzt. aber ich guck's mir auch mal an. vll find ich was ohne downgrade. denn die zeit ist mir herzlich egal wenn ich dadurch sicherheit verliere.

[enks]

Ich benutze auch keine Zeitschalt-Features sondern habe eine FritzDECT 200 Funksteckdose zur Verbrauchsmessung im Einsatz. Wenn die Systemzeit der Fritzbox nicht korrekt ist dann funktioniert die Energieanzeige der Steckdose nicht.

Einen Downgrade hätte ich aber auch bei fehlendem Workaround nicht gemacht, da hat die Sicherheit meines Netzwerks priorität

[Filostrato]

Eine synchronisierte Systemzeit ist auch für die Authenticator Apps notwendig.

[biznizläuft]

also auch bei mir kann die FB den NTP-Server nicht erreichen

man wird freundlich auf die AVM Hilfeseite

https://fritzhelp.avm.de/help/de/FRITZ-Box-7530-avme/avme/021/hilfe_syslog_2102

verwiesen

ich denke das ist ein Fritzbox Softwareupdate Problem.

Hier sollte man bei AVM einmal anchfragen da sich weder an der Hardware noch am DSL-Access irgendetwas verändert hat muss es am Softwareupdate liegen.

[enks]

Am 6.9.2023 um 19:13 schrieb biznizläuft:

ich denke das ist ein Fritzbox Softwareupdate Problem.

Glaube nicht das es explizit an der FW 7.57 liegt, da in anderen Foren bisher nicht über das NTP-Problem berichtet wurde. Die Ursache liegt meiner Meinung nach eher darin, dass die Firmware manuell eingespielt wurde, sprich nicht direkt von Magenta kam und bei Magenta selbst.

Es gibt schon einen Thread zu dem NTP-Problem (Hier)

 

Inzwischen wurde die Sicherheitslücke die durch FW 7.57 und 7.31 geschlossen wird vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) mit einem CVSS-Wert von 7.1 = hohes Risiko bewertet:

https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-2262

Genauere Informationen zur Sicherheitslücke selbst gibt es aber nicht.

 

Bin gespannt wie schnell (wahrscheinlich wäre die Formulierung "wie langsam" wohl passender 😆) Magenta selbst die Updates verteilt

Bearbeitet September 6, 2023 von enks

[hackerd]

Magenta sollte sich besser beeilen. Laut heise ist ein Hack aller Fritzboxen mit Releases vor 7.57 möglich. Sicherheitslücken nicht schnell zu fixen ist gefährlich.

Siehe: Fritzbox-Sicherheitsleck analysiert: Risiko sogar bei deaktiviertem Fernzugriff | heise online
https://heise.de/-9323225

Ich habe selbst auf 7.57 updated und hatte das Zeitserver Problem, sonst alles okay. Habe ich mit eigenem Zeitserver auf Raspi gelöst.
 

Bearbeitet Oktober 2, 2023 von hackerd

[Wolf73]

Es gibt mittlerweile einen workaround für das Problem (funktioniert bei mir Fritz Box 7530 mit Firmware 7.57 bestens) 

"Wir haben bezüglich der Fritz Box Thematik und des Zeitserver bereits die Informationen weitergegeben und arbeiten an einer schnellstmöglichen Lösung. In dringenden Fällen könnten Sie einen Zeitserver selbst eintragen mit folgender IP Adresse: 91.118.89.8. Liebe Grüße, Ihr Magenta Kundenservice"