image

Kritieke kwetsbaarheid in FRITZ!Box-modemrouter gepatcht

zondag 10 januari 2016, 10:52 door Redactie, 10 reacties

Een kritieke kwetsbaarheid in de FRITZ!Box-modemrouter van fabrikant AVM waardoor aanvallers het toestel op afstand konden overnemen is vorig jaar gepatcht, zo is nu bekend geworden. De kwetsbaarheid bevond zich in een service genaamd 'dsl_control'.

Door verbinding met deze service te maken kon een aanvaller willekeurige code op de modemrouter uitvoeren en rootrechten krijgen. Vervolgens zou het mogelijk zijn om verkeer van gebruikers af te luisteren, telefoonnummers te bellen en eventueel een backdoor te installeren om langere tijd toegang tot het apparaat te behouden, aldus onderzoekers van het beveiligingsbedrijf RedTeam Pentesting.

De kwetsbaarheid werd vorig jaar februari ontdekt en een maand later aan AVM gerapporteerd. In juli begon AVM met het uitrollen van updates voor de FRITZ!Box. In eerste instantie was het plan om de details over de kwetsbaarheid in november te publiceren, maar dat werd uitgesteld om ervoor te zorgen dat meer modemrouters de nieuwe firmware-update hadden ontvangen waarmee het probleem wordt verholpen.

Deze week zijn de details alsnog gepubliceerd. Daaruit blijkt dat de kwetsbare service alleen vanaf het interne netwerk toegankelijk is, maar het ook mogelijk is om de kwetsbaarheid via 'cross-site request forgery' aan te vallen. In dit geval zou het bezoeken van een kwaadaardige pagina voldoende zijn om de modemrouter over te nemen. In het geval van XS4ALL, dat ook de FRITZ!Box-modemrouter gebruikt, zou het apparaat vorig jaar november al naar versie 6.30 zijn bijgewerkt. Nu de details gepubliceerd zijn krijgen eigenaren het advies om te controleren dat ze over versie 6.30 of nieuwer beschikken.

Reacties (10)
10-01-2016, 11:22 door Anoniem
Dat is fijn want als je 7340 ook van Xs4all hebt dan kun je alleen via hun netwerk een update krijgen hiervoor, want AVM geeft de update zelf niet vrij.
Altijd graag AVM routers/modems gebruikt maar dit wel mijn laatste en ben op een andere aanbieder overgegaan om dat AVM erg langzaam is met updates en nieuwe features en laat ons jaren wachten voordat het komt als het ooit komt.
10-01-2016, 12:30 door [Account Verwijderd] - Bijgewerkt: 10-01-2016, 12:47
[Verwijderd]
10-01-2016, 15:15 door Anoniem
Zit zelf op versie 6.25 op een 7340, maar als ik 'm probeer te updaten geeft 'ie aan dat ik reeds de nieuwste versie draai...
10-01-2016, 18:29 door Anoniem
In de newsgroup van XS4all wordt gezegt dat de 7170, 7340 en 7390 niet kwetsbaar zouden zijn. Ik zit inderdaad ook op versie 6.25 op een 7340,
10-01-2016, 23:15 door Anoniem
Mijn 7360 heb ik al tijden geleden geüpdatet naar versie 6.30 met de update-functie van het apparaat zonder tussenkomst van XS4ALL. Ik weet niet wat het probleem is.
11-01-2016, 09:46 door Anoniem
Door Anoniem: Dat is fijn want als je 7340 ook van Xs4all hebt dan kun je alleen via hun netwerk een update krijgen hiervoor, want AVM geeft de update zelf niet vrij.
Altijd graag AVM routers/modems gebruikt maar dit wel mijn laatste en ben op een andere aanbieder overgegaan om dat AVM erg langzaam is met updates en nieuwe features en laat ons jaren wachten voordat het komt als het ooit komt.

Vorig jaar een kritiek lek ontdekt, dezelfde dag een waarschuwing met work around om lek te dichten gepubliceerd en 3 dagen later een update om het probleem op te lossen. Ik ken geen enkele andere fabrikant die een lek zo snel dicht. Fritzboxen worden jaren later nog steeds ondersteund. Dat kun je bij de (meeste) andere router fabrikanten niet zeggen.
11-01-2016, 16:30 door Anoniem
Door Anoniem: Dat is fijn want als je 7340 ook van Xs4all hebt dan kun je alleen via hun netwerk een update krijgen hiervoor, want AVM geeft de update zelf niet vrij.
Altijd graag AVM routers/modems gebruikt maar dit wel mijn laatste en ben op een andere aanbieder overgegaan om dat AVM erg langzaam is met updates en nieuwe features en laat ons jaren wachten voordat het komt als het ooit komt.

Toch wel (voor de 7360 dan) want ik heb geen XS4ALL meer (opgezegd - nu Ziggo) maar kreeg de update toch :-)
11-01-2016, 23:01 door Anoniem
Wat betreft de 7340:

With the latest FRITZ!OS version, your FRITZ!Box is perfectly adapted to the current developments in networking ensuring rapid Internet speeds. The upgrade is available for FRITZ!Box 7490, 7390, 7360, 7330, 7272, 3490, 3390, 3370, 3272, 6840 LTE and 6810 LTE.

Updates for further models will follow.
12-01-2016, 09:58 door Anoniem
Door Anoniem:
Door Anoniem: Dat is fijn want als je 7340 ook van Xs4all hebt dan kun je alleen via hun netwerk een update krijgen hiervoor, want AVM geeft de update zelf niet vrij.
Altijd graag AVM routers/modems gebruikt maar dit wel mijn laatste en ben op een andere aanbieder overgegaan om dat AVM erg langzaam is met updates en nieuwe features en laat ons jaren wachten voordat het komt als het ooit komt.

Toch wel (voor de 7360 dan) want ik heb geen XS4ALL meer (opgezegd - nu Ziggo) maar kreeg de update toch :-)

Via AVM kun je wel een update krijgen maar niet de allernieuwste. Die is alleen via XS4ALL te krijgen als je ergens dat
vinkje voor updaten door de provider aanzet.
Echter voor zover me bekend lost de nieuwste publieke update wel het oude probleem op waar deze discussie over gaat
en is die dus goed genoeg. De update via XS4ALL is er om bepaalde functionaliteit toe te voegen waar XS4ALL gebruik
van maakt (met betrekking tot IPTV).
13-01-2016, 15:13 door Anoniem
Door Anoniem: In de newsgroup van XS4all wordt gezegt dat de 7170, 7340 en 7390 niet kwetsbaar zouden zijn. Ik zit inderdaad ook op versie 6.25 op een 7340,

Ik kan idd bevestigen dat 06.25 firmware niet kwetsbaar is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.