De opdates kwam in de nacht van 7 op 8 februari online rond één uur voor de 7340, 7360 en7390 terwijl de Duitse versie voor 7390 de middag daarvoor als te laden was.

De update bevat alleen de security fix voor poort 443 en de resterende regels zaten al vorige firmware versie.

AVM heeft hier echt hard aan getrokken om de updates beschikbaar te maken voor gebruikers van de Fritzboxen om nog meer schade te beperken.

Dat was mij ook al opgevallen. Ondanks de update blijft het aan te raden :443 gewoon dicht te laten, tenzij je echt niet anders kan.

Eerder waren deze FritzBoxen geweldige devices door hun kwaliteit / veelzijdigheid. De 7170 had als modem bijvoorbeeld nog wel voldoende configuratieopties in de webui, een geïntegreerde ISDN bus en een stabiele firmware wat draaide op hardware welke niet kapot te krijgen was.

Maar dit begint toch steeds meer tegen te vallen, met name de introductie van steeds meer 'speelgoed features' en het steeds verder uitkleden van de configuratie mogelijkheden. Door steeds vaker nieuwe en meer rigoureuzere firmware uit te brengen (met nog meer speelgoed) moet men steeds meer de configuratie overnieuw maken, wil men zeker weten dat deze 100% compatibel is. .Ook het updaten vanuit de webui is wel vaker misgegaan, waarna men de box op de klassieke en omslachtige manier moest flashen.

Ook het remote beheren door onder andere provider en fabrikant lijkt mij niet zo'n fris idee, aangezien het vinkje in de webinterface uitzetten in werkelijkheid niets doet met deze functionaliteit. Alles van *.avm.de naar dit modem toelaten is natuurlijk ook niet echt slim aangezien je met DNS spoofing of direct via AVM toegang tot miljoenen modems kan krijgen. En hebben ze ook een fix gemaakt voor TCP poort 8089? Wie zich vermaken moet deze configuratie maar eens helemaal doornemen en dan wordt niet bedoeld de vinkjes in de webinterface...

En wat AVM zelf als verklaring geeft; lijkt of ze de indruk willen wekken dat het voor veel klanten hun eigen schuld is door remote access aan te hebben staan, maar logischer zou zijn dat hun dienst gehackt is waardoor men met de bemachtigde passwords voor MyFritz, remote access heeft kunnen aanzetten om zo volledige controle over de box te krijgen cq houden.
Waarom zouden klanten risico lopen als deze alleen remote access aan hebben staan en geen MyFritz gebruikten; dan kan men alleen toegang krijgen als men het lokaal in de fritzbox opgelslagen password weet, tenzij er dus een manier is om zonder juiste credentials volledige toegang tot de box te krijgen. In dat geval een zeer kwalijke zaak van AVM.

En als MyFritz succcesvol gehacked is; zijn de nieuwe firmware downloads dan wel te vertrouwen?

Bron?

Helemaal duidelijk zijn ze niet, maar uit https://www.avm.de/en/press/announcements/2014/2014_02_07.php3 haal ik dat het waarschijnlijk om een exploit gaat die het wachtwoord omzeild. ("Criminal attacks on port 443" en "AVM will make software updates available to prevent further attacks following this pattern")

Als MyFritz gehackt zou zijn dan is er natuurlijk geen reden voor een update van de firmware van Fritzboxen. Hetzelfde gaat op indien op een andere wijze de inloggegevens bemachtigd zouden zijn. De conclusie is simpel: er was/is een manier om via poort 443 als die open staat zonder de door de gebruikers ingestelde inlogwaarden in de betreffende fritzboxen te komen.

Het is een backdoor. Mogelijk voor Providers en AVM zelf, of nog anderen. Wie dat kunnen zijn mag iedereen zelf bedenken. Als er niet een duidelijkere verklaring komt dan kan AVM op de hoop van definitief onbetrouwbare fabrikanten.

"Aan de andere kant; als dit een backdoor zou zijn, en hij werkt alleen als remote access aan staat (wat standaard uitgeschakeld staat), hoe effectief is deze dan...?"

We weten natuurlijk (nog) niet of deze eventuele backdoor allen werkt als remote acces aanstaat. Die gedachte licht wel voor de hand als je aanneemt dat het advies om dit uit te schakelen tot je de nieuwe firmware hebt geïnstalleerd ook werkt. ik heb echter nog geen berichten gelezen dat het probleem echt opgelost zou zijn door remote access uit te zetten. Of het tegendeel trouwens.

Dat bericht om remote access uit te zetten kan dus gewoon een zoethouder of een dwaalspoor zijn van AVM

Dan zouden het wel heel vreemde hackers zijn. Stel dat die backdoor altijd werkt. Men komt in de router binnen en kijkt of de remote access aanstaat. Vervolgens gaan ze alleen via die paar routers telefoonfraude plegen waar de remote access aan staat. Dat kan inderdaad, maar is dat waarschijnlijk?

Het gaat hier om een exploit van remote access (https op port 443), zolang die functie uit staat is er geen risico. Verder is het scannen simpel, je weer welke providers grootschalig AVM modems gebruiken, dus die ip ranges kan je scannen op port 443, en fingerprinten om daar mee de fritzboxen te identificeren. Vervolgens laat je een script al die adressen afgaan en de de exploit uitvoeren. Tadaa, honderden modems die open staan voor VoIP misbruik.

Dat scannen in niet nodig omdat Shodan dat al voor je gedaan heeft. Als je bij hun op "Fritz" zoekt vind je:


Vooral Duitse FritzBoxen, maar je kunt de selectie ook tot Nederland beperken, of nog verder specificeren