image

'Lek in FRITZ!Box modems ernstiger dan gedacht'

dinsdag 18 februari 2014, 11:00 door Redactie, 21 reacties
Laatst bijgewerkt: 18-02-2014, 11:40

Het lek in FRITZ!Box modems waardoor onder andere klanten van XS4ALL werden aangevallen is veel ernstiger dan gedacht, aldus een Duitse website. Via het lek kregen criminelen toegang tot de modems, die er vervolgens telefoonfraude mee pleegden, wat voor hoge rekeningen zorgde.

In eerste instantie werd gesteld dat het probleem zich alleen voordeed bij gebruikers die Remote Access of de MyFRITZ! service op de modem hadden ingeschakeld. Het Duitse Heise Security meldt dat het probleem in principe alle gebruikers van een FRITZ!Box treft en dat het niet vereist is dat Remote Access is ingeschakeld. "Het probleem is dus veel ernstiger dan eerst werd gedacht", zo laat Heise weten.

Het bezoeken van een gehackte of kwaadaardige website volstaat om aanvallers volledige controle over de modem te geven. Dat baseert de Duitse website op het analyseren van de beveiligingsupdates die fabrikant AVM vorige week publiceerde. Als bewijs maakte Heise ook een demonstratiepagina, die gegevens van de aangevallen modem kopieert, zoals beheerderswachtwoord en andere inloggegevens.

Updaten

Gebruikers van een FRITZ!Box modem krijgen dan ook het advies om de beschikbare update meteen te installeren. Dit is eenvoudig te doen door in de browser "fritz.box" in te tikken en vervolgens in het "Wizard" menu "Update" te kiezen. Voor FRITZ!Box Cable wordt de update uitgevoerd in samenwerking met de kabelproviders. Vorige week liet AVM nog weten dat 80% van de Fritz!Box-gebruikers de update nog niet had geïnstalleerd. In Duitsland zouden een paar honderd internetgebruikers via het lek zijn aangevallen.

Update 11:40

Het Bundesamt für Sicherheit in der Informationstechnik (BSI) van de Duitse overheid heeft bevestigd dat modems waar Remote Access niet is ingeschakeld inderdaad kwetsbaar zijn. Gebruikers wordt dan ook dringend geadviseerd om de update te installeren. Uit cijfers die AVM aan het BSI verstrekte blijkt dat inmiddels de helft van de modems is gepatcht.

Reacties (21)
18-02-2014, 11:15 door johanw
Als je geen vaste lijn telefonie via dat modem hebt lopen ben je hiervoor niet in gevaar lijkt me.
18-02-2014, 11:21 door Anoniem
"lijkt je"? Nou dan ben ik helemaal gerustgesteld!
18-02-2014, 11:40 door Anoniem
@johanw
los van het feit of er telefoniefraude gepleegd kan worden, instellingen uit het modem zijn te kopieren/aan te passen. Mocht je op meerdere plaatsen bijvoorbeeld hetzelfde wachtwoord gebruiken dan is dit (hopelijk minimaal gehashed/gesalt) uit te lezen. Ik ben zelf niet heel erg bekend met hoe de firmware van een FritzBox in elkaar zit, maar het remote kunnen uitlezen/aanpassen van gegevens in het modem zou het in theorie mogelijk maken een malicious update te installeren. Mogelijkheden hiervan zijn legio, maar bedenk je bijvoorbeeld een standaard mitm-attack...
18-02-2014, 11:54 door Anoniem
"Vorige week liet AVM nog weten dat 80% van de Fritz!Box-gebruikers de update nog niet had geïnstalleerd."

En hoe moeten de 'normale' gebruikers dit dan ook uberhaupt weten?
De 'hackers' (als in mensen die graag ook de binnenkant van apparaten willen bekijken) onder ons houden websites bij, maar tante truus die alleen internet heeft omdat de kleinkinderen dan flappytube kunnen kijken, hoe moet die daar dan achter komen, en als ze het al weten, denk je dat die mensen kunnen inloggen, en updaten?
18-02-2014, 12:03 door Anoniem
Door johanw: Als je geen vaste lijn telefonie via dat modem hebt lopen ben je hiervoor niet in gevaar lijkt me.

Alleen voor de telefoornfraude ben je veilig, het overnemen van je modem is nog steeds mogelijk.
18-02-2014, 13:02 door wica128
https://www.bsi.bund.de/DE/Presse/Kurzmitteilungen/Kurzmit2014/Update_FritzBox_180214.html
18-02-2014, 13:29 door [Account Verwijderd] - Bijgewerkt: 18-02-2014, 13:33
[Verwijderd]
18-02-2014, 13:36 door [Account Verwijderd]
[Verwijderd]
18-02-2014, 14:02 door Anoniem
Door Anoniem: "Vorige week liet AVM nog weten dat 80% van de Fritz!Box-gebruikers de update nog niet had geïnstalleerd."

En hoe moeten de 'normale' gebruikers dit dan ook uberhaupt weten?
De 'hackers' (als in mensen die graag ook de binnenkant van apparaten willen bekijken) onder ons houden websites bij, maar tante truus die alleen internet heeft omdat de kleinkinderen dan flappytube kunnen kijken, hoe moet die daar dan achter komen, en als ze het al weten, denk je dat die mensen kunnen inloggen, en updaten?

XS4ALL heeft z'n klanten een mailtje gestuurd, waarin duidelijk wordt uitgelegd hoe je moet updaten. Tja, er zullen ook
mensen zijn die zelf ergens een Fritz!Box hebben gekocht ...
18-02-2014, 14:44 door Anoniem
XS4ALL heeft z'n klanten een mailtje gestuurd, waarin duidelijk wordt uitgelegd hoe je moet updaten. Tja, er zullen ook
mensen zijn die zelf ergens een Fritz!Box hebben gekocht ...
Dan heeft XS4ALL mij zeker overgeslagen want ik heb nooit een mailtje gezien.
18-02-2014, 15:20 door [Account Verwijderd]
[Verwijderd]
18-02-2014, 16:30 door [Account Verwijderd] - Bijgewerkt: 18-02-2014, 16:46
[Verwijderd]
18-02-2014, 19:20 door Anoniem
Door Peter V.:
Vorige week was toevallig mijn Fritz!box kapot en ik kreeg van xs4all gratis een nieuwe. Het eerste wat ik gedaan heb (en dat wordt altijd aangeraden) is het ophalen en installeren van de laatste firmware-update. En dit alles gebeurde voordat ik zelfs maar wist dat het lek uit te buiten was zonder Remote Acces.

Snel patchen is dus hier zeker het devies.

Vergeet niet dat degenen die kwetsbaar zijn voor dit lek juist degenen zijn die altijd patchen en updaten!
De software waarmee die boxen ooit werden uitgeleverd die was niet kwetsbaar, het lek is er juist bij een update ingekomen.
18-02-2014, 20:39 door Anoniem
Door Anoniem:
XS4ALL heeft z'n klanten een mailtje gestuurd, waarin duidelijk wordt uitgelegd hoe je moet updaten. Tja, er zullen ook
mensen zijn die zelf ergens een Fritz!Box hebben gekocht ...
Dan heeft XS4ALL mij zeker overgeslagen want ik heb nooit een mailtje gezien.
Ik ook niet...

Voor zover mij bekend is, is het lek in de remote acces het enige dat vóór het uitkomen van de update's misbruikt is.
Als er slimmerds zijn die op een week of wat de firmware update kunnen analyseren, de (blijkbaar meerdere) lekken kunnen vinden en hier vervolgens ook een werkende MitM-exploit kunnen schrijven zitten er achter deze aanval nou niet bepaald script-kiddies lijkt me.
18-02-2014, 20:45 door Anoniem
Hier ook geen e-mail gehad van Xs4all over de in bruikleen zijnde Fritzbox. Ook heeft Xs4all een grote kans laten voorbij gaan door in hun nieuwsbrief geen melding/waarschuwing op te nemen over de aan het licht gekomen probleem.

Overigens van AVM een berg emails gehad hierover en de eerste die actief mij benaderde was Budgetphone.
18-02-2014, 22:54 door Anoniem
Door Anoniem:
Door Anoniem:
XS4ALL heeft z'n klanten een mailtje gestuurd, waarin duidelijk wordt uitgelegd hoe je moet updaten. Tja, er zullen ook
mensen zijn die zelf ergens een Fritz!Box hebben gekocht ...
Dan heeft XS4ALL mij zeker overgeslagen want ik heb nooit een mailtje gezien.
Ik ook niet...

Voor zover mij bekend is, is het lek in de remote acces het enige dat vóór het uitkomen van de update's misbruikt is.
Als er slimmerds zijn die op een week of wat de firmware update kunnen analyseren, de (blijkbaar meerdere) lekken kunnen vinden en hier vervolgens ook een werkende MitM-exploit kunnen schrijven zitten er achter deze aanval nou niet bepaald script-kiddies lijkt me.

Worden niet enkel mensen met telefonie in eerst instantie gebeld? XS4ALL heeft ook port filtering aangezet bij iedereen bij wie remote access aanstond (wordt je ook niet perse blij van volgens mij maar goed).
Waarom zou je eigenlijk een belletje willen. Je bent blijkbaar goed op de hoogte en denk dat de mensen beter gebruikt kunnen worden aan de telefoon om mensen te helpen die niet uit het update proces komen.
18-02-2014, 22:54 door softwaregeek
De veiligste FritzBox in deze zaak is de FritzBox die uit staat;).
19-02-2014, 14:23 door Anoniem
Ik heb ook GEEN e-mail ontvangen van Xs4all... lijkt er dus niet op dat xs4all iedereen geinformeerd heeft...
19-02-2014, 20:01 door Anoniem
Vergeet niet dat degenen die kwetsbaar zijn voor dit lek juist degenen zijn die altijd patchen en updaten!
De software waarmee die boxen ooit werden uitgeleverd die was niet kwetsbaar, het lek is er juist bij een update ingekomen.

Vanaf welke versie is het misgegaan dan? Bron?

Om verschillende redenen update ik de firmware niet van de verschillende FB'en (7270/7340/7360/7390) welke ik onder mijn beheer heb. Ik vraag me af of ik nu toch wel moet gaan doen of dat deze problemen vanaf de FritzOS erin zijn geslopen. FritzOS heeft namelijk diverse functies geïntroduceerd waarbij ik al bang was voor problemen (zogezegd om het de klant gemakkelijker te maken en het verkoopt natuurlijk een stuk beter naar potentiële klanten).
19-02-2014, 20:25 door Anoniem
Ook ik heb geen mail gekregen van xs4all, ondanks dat ik gebruik maar van internet telefonie (VOIP). Via de site van xs4all heb ik de FritzBox firmware geüpdatet. Dit is een fluitje van een cent en neemt niet meer dan 10 minuten in beslag.
19-02-2014, 22:58 door Anoniem
Dommel (Belgische provider) heeft netjes mijn FRITZ!Box 7360 een update gegeven naar de laatste versie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.