'AVM dichtte FritzOS-lek dat het uitvoeren van code op afstand mogelijk maakte'

De Duitse FritzBox-maker AVM heeft een update voor FritzOS uitgebracht waarmee het een beveiligingslek dicht. Volgens informatie van de Duitse site Heise maakte het lek het op afstand uitvoeren van code op de FritzBox-routers mogelijk. AVM bestrijdt dit.

Heise schrijft het lek samen met een beveiligingsonderzoeker te hebben vastgesteld en het vervolgens te hebben gemeld aan AVM. Het zou gaan om een heap overflow-kwetsbaarheid in versies 6.80 en 6.81. De patch met versie 6.83 lost de problemen op. In eerste instantie noemde AVM de kwetsbaarheid niet in de patchnotes, maar het heeft inmiddels een update geplaatst. Daarin schrijft het dat de kwetsbare versie maar korte tijd in gebruik was en dat het de kwetsbaarheid niet kon exploiten.

De onderzoeker die het lek ontdekte, was hier wel toe in staat en toonde dit aan met een proof of concept-exploit. Hiermee was het mogelijk om kwetsbare routers over te nemen, en bijvoorbeeld internetverkeer te onderscheppen en voip-oproepen te doen. Getroffen modellen zijn volgens Heise de FritxBox 7390, 7490 en 7580. De update naar versie 6.83 is al sinds maart beschikbaar en komt binnen via een automatische update, waardoor het aantal kwetsbare apparaten gering is.

Update, 11:04: Een woordvoerder van Xs4all, dat gebruikmaakt van FritzBox-apparaten, laat aan Tweakers weten dat de Nederlandse versie van de firmware de kwetsbaarheid niet bevat. Dit heeft AVM aan de provider laten weten.

De proof of concept, afbeelding via Heise

Door Sander van Voorst

Nieuwsredacteur

Feedback • 20-04-2017 10:33
41 • submitter: Houtenklaas

20-04-2017 • 10:33

41 Linkedin

Submitter: Houtenklaas

Lees meer

Proximus certificeert FritzBox 7590- en 7530-modems van AVM Nieuws van 12 februari 2019
AVM introduceert zijn eerste Docsis 3.1-modem Nieuws van 27 juni 2018
'Aanmaken van certificaat voor Fritzbox geeft hostnaam prijs via internet' Nieuws van 15 december 2017
Beveiligingsbedrijf waarschuwt voor lekken in oudere Linksys-routers - update Nieuws van 18 oktober 2017
Fritzbox-firmware bevat lek dat inzicht in lokale netwerk kan geven - update Nieuws van 6 juli 2017
Onderzoekers treffen 10 kwetsbaarheden aan in 25 recente Linksys-routers Nieuws van 22 april 2017
AVM kondigt twee routers in Fritzbox-lijn aan Nieuws van 20 maart 2017
Xs4all gaat lek in FritzBox-modems op afstand dichten Nieuws van 28 februari 2014
Xs4all raadt klanten aan lek in FritzBox-routers te dichten met update Nieuws van 8 februari 2014
Xs4all-klanten de dupe van telefoonfraude via routers Nieuws van 6 februari 2014
AVM brengt Fritzbox-router met 450Mbps-wifi uit Nieuws van 26 september 2012
Meer producten en artikelen
Netwerk en systeembeheer AVM FRITZ!Box Security

Reacties (41)

-Moderatie-faq
41
41
31
1
1
2
Wijzig sortering
himlims_
20 april 2017 10:34
gebruikt xs4all die devices niet ?
Pachango
@himlims_20 april 2017 11:00
De modems die XS4ALL gebruikt zijn niet kwetsbaar voor dit lek. Onze firmware is anders dan de versie in Duitsland, de kwetsbaarheid is daardoor geen probleem voor XS4ALL-klanten.

Het is onhandig dat de Duitse kwetsbare versie en onze niet-kwetsbare versie allebei 6.80 heten. Maar niks aan de hand dus als je een modem van XS4ALL hebt.

Niels
Woordvoerder XS4ALL
rud
@Pachango20 april 2017 23:27
En hoe zit het met de 7369 die XS4ALL uitgezet heeft omdat de 7581 niet stabiel is? Die draaien namelijk onder IOS 6.32 en daar is geen update voor.
WeiserMaster
@Pachango20 april 2017 12:50
Dan even offtopic: gisteren heb ik de firmware van een 5490 van de duitse Fritz FTP gehaald, engelse versie. Ook 6.80.
Was namelijk een erg oude versie op de Fritz uit de XS4ALL doos.
Is dat dezelfde versie die jullie gebruiken, of heb ik nu een compleet andere versie er op gezet?
Pachango
@WeiserMaster20 april 2017 13:14
Waar heb je die gevonden? Ik zie alleen versie 6.83 staan op ftp.avm.de . Ik weet niet wat er nu precies op je modem staat. Log even in op de modem en kies Update, dan krijg je de juiste versie en zit je goed.

[Reactie gewijzigd door Pachango op 20 april 2017 13:41]

Jan-E
@Pachango21 april 2017 06:21
Het is onhandig dat de Duitse kwetsbare versie en onze niet-kwetsbare versie allebei 6.80 heten. Maar niks aan de hand dus als je een modem van XS4ALL hebt.
De door XS4ALL geleverde 7581 is zo brak, dat het me niet zou verbazen als daar andere exploits voor mogelijk zijn. Ik mag voor jullie hopen dat AVM eerder het probleem vindt dan dat hackers er achter komen.

Ik heb sinds enige tijd alles uitstaan op mijn (lees: jullie) 7581. Geen Voip, geen DECT, geen Wifi, geen mediabox/USB. Toch reboot het apparaat eens in de paar dagen, of sneller. Die 130 seconden in loekf2 in 'nieuws: 'AVM dichtte FritzOS-lek dat het uitvoeren van code op afs... betrof mijn model.

'Het laagste storings­percentage van Nederland' en 'First class Internet' begint een lachertje te worden als je een modem uitlevert, dat al sinds de introductie (december) uitermate instabiel is. AVM heeft zijn release-proces niet op orde en heeft blijkbaar geen clue hoe ze hun eigen firmware stabiel kunnen maken. Het is gewoon wachten op het volgende exploit dat gevonden wordt.
Kadardar
@himlims_20 april 2017 10:36
Deze modellen van hun website kunnen pakken.

FRITZ!Box 7340
FRITZ!Box 7360
FRITZ!Box 7390/7490 <- kwetsbaar volgens artikel
FRITZ!Box 7369

[Reactie gewijzigd door Kadardar op 20 april 2017 10:39]

BernardV
@Kadardar20 april 2017 10:46
Er zijn meer modellen in gebruik door xs4all dan op de site staat vermeld.
Ik heb bijvoorbeeld een 7581 van xs4all.
TD-er
@BernardV20 april 2017 10:56
En die 7581 heeft nog steeds 6.80 als firmwareversie.
Dat is sinds december het standaard uitgeleverde modem, met nogal wat issues qua stabiliteit.
[T]yphoon
@Kadardar20 april 2017 11:59
en ik heb allebij de modellen, nou dat wordt ff updaten :P
ThinkPad
@Kadardar20 april 2017 12:12
Ik heb een 7360 gehad, dat was een v1. Die heeft blijkbaar minder flashgeheugen dan een v2 en kon daardoor geen nieuwere firmware aan dan 6.30 :/ Die is dus zo lek als een mandje als ik het goed begrijp.

[Reactie gewijzigd door ThinkPad op 20 april 2017 12:20]

muphys
@Kadardar29 april 2017 16:55
Waar heb je de nieuw(st)e versie voor de 7340 gevonden? Ik kan alleen firmware 06.06 (99.06.06) vinden en die is al uit 2014(!); zowel op de website als op ftp.avm.de
Thx alvast.
119961
@himlims_20 april 2017 10:40
Lijkt me geen punt voor xs4all; 2014 nieuws: Xs4all gaat lek in FritzBox-modems op afstand dichten
Carlos0_0
@himlims_20 april 2017 10:36
Klopt
ehtweak
20 april 2017 11:07
In het bovenstaande artikel wordt de veronderstelling gedaan dat:
"De update naar versie 6.83 is al sinds maart beschikbaar en komt binnen via een automatische update, waardoor het aantal kwetsbare apparaten gering is."
Maar is helemaal niet vanzelfsprekend dat auto-update aanstaat! Als tweaker zijnde houd je liefst zelf controle over je devices, en schakel je automagische updates en isp-pushes uit.
M.a.w. dan moet je zelf ff inloggen en via System/Update/Find New FRITZ!OS de update zelf ff forceren. Vergeet niet van tevoren een update van je configuratie te maken! Het gedownloade XML bestand is tevens een informatieve bron van de configuratie parameters van je FRITZ!Box.

Bij de eerdere melding, alhier op tweakers; downloads: AVM Fritz!box Fon Wlan 7490 113.06.83 over de 6.83 update, is al de nodige info verstrekt.

[toevoeging]
"Een woordvoerder van Xs4all, dat gebruikmaakt van FritzBox-apparaten, laat aan Tweakers weten dat de Nederlandse versie van de firmware de kwetsbaarheid niet bevat"
Imho is er geen specifieke Nederlandse versie van de firmware! Er is een Duitse versie en er is een internationale versie (waar Nederlands als landinstelling taal inzit). (en vaak een Schweiz/Austria versie) Dat is toch wel een nuanceverschil. ;)

[Reactie gewijzigd door ehtweak op 20 april 2017 14:05]

BernardV
@ehtweak20 april 2017 12:59
Er is wel een Nederlandse versie van de firmware. Bij het instellen van je verbinding kun je dan ook Nederlandse providers kiezen. Kies je bijvoorbeeld xs4all, dan heb je weer de keus uit FTTH of DSL.
guido66
@BernardV20 april 2017 18:05
Klopt, maar de interface blijft engels....
ReneX
@ehtweak20 april 2017 11:46
Nou .. in de internationale versie zitten diverse talen .. maar niet het Nederlands :+

(Op zich klopt het dus, de Nederlandse versie heeft het niet ... :P)

[Reactie gewijzigd door ReneX op 20 april 2017 11:47]

ps22geert
20 april 2017 10:46
Voor de belgen gaat het terug wachten zijn op Proximus om deze patch te kunnen instaleren.
Kan nog maanden duren tegen dat de 6.83 firmware goedgekeurd is.
FastFred
@ps22geert20 april 2017 10:50
Is dat provider afhankelijk dan? In een xs4all fritzbox kan ik in de webinterface gewoon kiezen voor 'update firmware' en dan haalt ie deze zelf binnen van AVM
ps22geert
@FastFred20 april 2017 10:54
Proximus moet de firmware eerst goedkeuren.
Enkel goedgekeurde firmware zal werken op het proximus netwerk, indien je manueel de internationale firmware download en instaleert riskeer je op een repair profiel te geraken en je snelheid zal dan ook dramatist zakken.
Proximus is de beheerder van de telefoon in belgie, de andere olo providers moeten dan maar naar de pijpen van proximus dansen.
Dat telt dan enkel wel voor mensen die VDSL hebben, wie dsl heeft kan er niet erger aan toegaan kwestie van snelheid :)

[Reactie gewijzigd door ps22geert op 20 april 2017 10:57]

RangedNeedles
@ps22geert20 april 2017 12:55
Geldt dit dan eigenlijk ook voor andere providers zoals EDPNet, Scarlet, Dommel enzovoort? Ze maken wel gebruik van het netwerk van Proximus maar kunnen misschien hun eigen eisen stellen :)
EotT
@RangedNeedles20 april 2017 19:37
Die moeten zich spijtig genoeg aan de regels van Proximus houden.
RangedNeedles
@EotT20 april 2017 21:19
OK, bedankt! :Y)
veloce
20 april 2017 12:07
Helaas voor de 7581 nog steeds de 6.80 versie:
http://ftp.avm.de/fritz.b...-it-fr-pl.152.06.80.image

Nog maar even doorploeteren met spontane reboots en wegvallende DECT telefoons, met de 7390 nauwelijks last van gehad ;(
rikky
@veloce20 april 2017 12:59
Ik heb met mijn 7581 het idee dat de telefoon het beter doet als je die registreert via "Telephony / Telephone Devices / Configure New Device" dan via DECT...
ArtGod
20 april 2017 12:23
Weer een voorbeeld waarom we moeten stoppen met de C programmeertaal te gebruiken voor kritische systemen die op het internet aangesloten zijn..

Gebruik C++ met STL en garbage collection!! Gebruik class libraries zoals QT en wxWidgets!!!

[Reactie gewijzigd door ArtGod op 21 april 2017 11:42]

ReneX
@ArtGod20 april 2017 12:38
Ik blijf mij ook verbazen waarom "men" (niet alleen AVM trouwens) zo aan C blijft hangen. C++ is ook niet zaligmakend, maar "men" lijkt wel erg "traditioneel" bezig te willen blijven.

Daarnaast zijn er ook tools en coding standards om fouten te vinden en/of het risico daarop te beperken.
sfranken
20 april 2017 10:39
Staat deze proof of concept toevallig ergens op GitHub of ergens anders online? Ik ben wel nieuwsgierig hoe dit in elkaar zit
CAPSLOCK2000
20 april 2017 10:51
Volgens het artikel van Heise zit het probleem in het VOIP-gedeelte van het apparaat. Als mijn Duits me niet in de steek laat dan kun je een bufferoverflow veroorzaken in de VOIP-software en zo toegang krijgen tot het systeem. Als je VOIP blokkeert dan ben je waarschijnlijk niet kwetsbaar.
erikmeuk3
20 april 2017 11:41
Er waren wel hackers actief in de bewuste periode, als ik mijn fritzbox logboek mag geloven.

6.8x heeft gelukkig ook een betere beveiliging, tegen stommiteiten van gebruikers.
Zo moeten bepaalde handelingen met de vaste telefoon bevestigd worden.(kan ook uit)
Een beter logboek en push service om het in de gaten te houden.

En ze hebben een goede helpdesk, die serieus naar de klanten luistert.
Windows is al jaren lang, zo lek als een mandje; Dus waar klagen we over.
JAVE
@erikmeuk320 april 2017 11:51
Omdat een ander product fouten bevat is het plotseling OK dat dit ook fouten bevat?
Beetje rare redenatie, vind je niet?
ReneX
@erikmeuk320 april 2017 12:05
En ze hebben een goede helpdesk, die serieus naar de klanten luistert.
Deden die maar meer dan alleen luisteren ... (en soms zelfs dat niet).

AVM heeft een serieus probleem met hun ontwikkelproces. Nieuwe functies en fixes lopen bv door elkaar heen, het gevolg men repareert het één en breekt het ander. Testen lijkt er soms helemaal niet bij te zijn (getuige de soms werkelijk onnozele bugs in de firmware).

Ik ben al jaren gebruiker van de Fritz!Box (nog voordat er internationale versies van waren), maar je ziet duidelijk dat de AVM R&D niet meegeschaald is met de toename van het aantal modellen en markten.
loekf2
20 april 2017 10:39
Oh leuk, dus naast dat m'n gloednieuwe 7581 van XS4ALL zo brak is als een mandje is ie dus ook zo lek als een mandje.

7581 is een van weinige nieuwe modellen van AVM die nog op 6.80 zit sinds Februari.

Er zijn beta's, maar AVM en XS4ALL zijn volop in test fase (lees we don't have a clue what's wrong with this modem for the majority of the users).
ReneX
@loekf220 april 2017 11:49
De kans dat een 7581 hier last van heeft is erg klein. Zo ligt hij bij mij te verstoffen, en bij anderen valt de verbinding zo vaak uit dan het niet leuk meer is om een exploit te gebruiken :+
loekf2
@ReneX20 april 2017 11:57
Ja hier ook

Ik heb nog twee 7581s in een doos liggen thuis. M'n good old 7490 maar weer terug gezet die gewoon werkt. 8-)

Zag vanmorgen op xs4all.adsl (newsgroup) dat er een nieuw record met herstarts is.... 130 seconden...
SHiNeye
@loekf220 april 2017 11:10
XS4ALL modems zijn dus niet lek, zie toevoeging
Trommelrem
@SHiNeye20 april 2017 11:34
Nee, maar de XS4ALL modems hebben heel andere problemen die nog steeds niet zijn opgelost door AVM. Blijkbaar heeft AVM het iets te druk gehad waardoor er geen tijd was voor de XS4ALL problematiek.
SHiNeye
@Trommelrem20 april 2017 11:37
Tja.. Dat is de reden waarom ik mijn modem van Ziggo in bridge modus heb, en een eigen router geinstalleerd heb.
kozue
@SHiNeye20 april 2017 14:08
Volgens mij kunnen Fritzboxen niet in bridge mode. Ik heb al sinds vele jaren een debian-bak direct achter m'n adsl modem hangen, die eigenlijk de "echte" router/firewall is voor het lokale netwerk (naast nog een hoop andere taken), maar dat was eigenlijk een dubbele NAT. Begin van de maand is echter mijn oude Speedtouch overleden en heb toen een nieuwe moeten kopen. Dat was dus een goede gelenheid om van de dubbele NAT af te komen. Na wat research viel de Fritzbox al af want ik kon nergens een aanwijzing vinden dat ie bridge mode zou ondersteunen. Nu heb ik een TP-link staan, waar ik ook nog OpenWRT op zou kunnen zetten als er problemen met de standaard firmware op zouden duiken :P
Trommelrem
@SHiNeye20 april 2017 11:47
Liever heb ik op mijn Ziggo lijn de AVM, echter wil Ziggo de gegevens niet verstrekken (PPPoE of static?). Daarom heb ik een verbinding met 5 IP adressen, zodat ik niet met bridge mode hoef te werken.

[Reactie gewijzigd door Trommelrem op 20 april 2017 11:48]

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee