Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'AVM dichtte FritzOS-lek dat het uitvoeren van code op afstand mogelijk maakte'

Door , 41 reacties, submitter: Houtenklaas

De Duitse FritzBox-maker AVM heeft een update voor FritzOS uitgebracht waarmee het een beveiligingslek dicht. Volgens informatie van de Duitse site Heise maakte het lek het op afstand uitvoeren van code op de FritzBox-routers mogelijk. AVM bestrijdt dit.

Heise schrijft het lek samen met een beveiligingsonderzoeker te hebben vastgesteld en het vervolgens te hebben gemeld aan AVM. Het zou gaan om een heap overflow-kwetsbaarheid in versies 6.80 en 6.81. De patch met versie 6.83 lost de problemen op. In eerste instantie noemde AVM de kwetsbaarheid niet in de patchnotes, maar het heeft inmiddels een update geplaatst. Daarin schrijft het dat de kwetsbare versie maar korte tijd in gebruik was en dat het de kwetsbaarheid niet kon exploiten.

De onderzoeker die het lek ontdekte, was hier wel toe in staat en toonde dit aan met een proof of concept-exploit. Hiermee was het mogelijk om kwetsbare routers over te nemen, en bijvoorbeeld internetverkeer te onderscheppen en voip-oproepen te doen. Getroffen modellen zijn volgens Heise de FritxBox 7390, 7490 en 7580. De update naar versie 6.83 is al sinds maart beschikbaar en komt binnen via een automatische update, waardoor het aantal kwetsbare apparaten gering is.

Update, 11:04: Een woordvoerder van Xs4all, dat gebruikmaakt van FritzBox-apparaten, laat aan Tweakers weten dat de Nederlandse versie van de firmware de kwetsbaarheid niet bevat. Dit heeft AVM aan de provider laten weten.

De proof of concept, afbeelding via Heise

Reacties (41)

Wijzig sortering
gebruikt xs4all die devices niet ?
De modems die XS4ALL gebruikt zijn niet kwetsbaar voor dit lek. Onze firmware is anders dan de versie in Duitsland, de kwetsbaarheid is daardoor geen probleem voor XS4ALL-klanten.

Het is onhandig dat de Duitse kwetsbare versie en onze niet-kwetsbare versie allebei 6.80 heten. Maar niks aan de hand dus als je een modem van XS4ALL hebt.

Niels
Woordvoerder XS4ALL
En hoe zit het met de 7369 die XS4ALL uitgezet heeft omdat de 7581 niet stabiel is? Die draaien namelijk onder IOS 6.32 en daar is geen update voor.
Dan even offtopic: gisteren heb ik de firmware van een 5490 van de duitse Fritz FTP gehaald, engelse versie. Ook 6.80.
Was namelijk een erg oude versie op de Fritz uit de XS4ALL doos.
Is dat dezelfde versie die jullie gebruiken, of heb ik nu een compleet andere versie er op gezet?
Waar heb je die gevonden? Ik zie alleen versie 6.83 staan op ftp.avm.de . Ik weet niet wat er nu precies op je modem staat. Log even in op de modem en kies Update, dan krijg je de juiste versie en zit je goed.

[Reactie gewijzigd door Pachango op 20 april 2017 13:41]

Het is onhandig dat de Duitse kwetsbare versie en onze niet-kwetsbare versie allebei 6.80 heten. Maar niks aan de hand dus als je een modem van XS4ALL hebt.
De door XS4ALL geleverde 7581 is zo brak, dat het me niet zou verbazen als daar andere exploits voor mogelijk zijn. Ik mag voor jullie hopen dat AVM eerder het probleem vindt dan dat hackers er achter komen.

Ik heb sinds enige tijd alles uitstaan op mijn (lees: jullie) 7581. Geen Voip, geen DECT, geen Wifi, geen mediabox/USB. Toch reboot het apparaat eens in de paar dagen, of sneller. Die 130 seconden in loekf2 in 'nieuws: 'AVM dichtte FritzOS-lek dat het uitvoeren van code op afs... betrof mijn model.

'Het laagste storings­percentage van Nederland' en 'First class Internet' begint een lachertje te worden als je een modem uitlevert, dat al sinds de introductie (december) uitermate instabiel is. AVM heeft zijn release-proces niet op orde en heeft blijkbaar geen clue hoe ze hun eigen firmware stabiel kunnen maken. Het is gewoon wachten op het volgende exploit dat gevonden wordt.
Deze modellen van hun website kunnen pakken.

FRITZ!Box 7340
FRITZ!Box 7360
FRITZ!Box 7390/7490 <- kwetsbaar volgens artikel
FRITZ!Box 7369

[Reactie gewijzigd door Kadardar op 20 april 2017 10:39]

Er zijn meer modellen in gebruik door xs4all dan op de site staat vermeld.
Ik heb bijvoorbeeld een 7581 van xs4all.
En die 7581 heeft nog steeds 6.80 als firmwareversie.
Dat is sinds december het standaard uitgeleverde modem, met nogal wat issues qua stabiliteit.
en ik heb allebij de modellen, nou dat wordt ff updaten :P
Ik heb een 7360 gehad, dat was een v1. Die heeft blijkbaar minder flashgeheugen dan een v2 en kon daardoor geen nieuwere firmware aan dan 6.30 :/ Die is dus zo lek als een mandje als ik het goed begrijp.

[Reactie gewijzigd door ThinkPad op 20 april 2017 12:20]

Waar heb je de nieuw(st)e versie voor de 7340 gevonden? Ik kan alleen firmware 06.06 (99.06.06) vinden en die is al uit 2014(!); zowel op de website als op ftp.avm.de
Thx alvast.
In het bovenstaande artikel wordt de veronderstelling gedaan dat:
"De update naar versie 6.83 is al sinds maart beschikbaar en komt binnen via een automatische update, waardoor het aantal kwetsbare apparaten gering is."
Maar is helemaal niet vanzelfsprekend dat auto-update aanstaat! Als tweaker zijnde houd je liefst zelf controle over je devices, en schakel je automagische updates en isp-pushes uit.
M.a.w. dan moet je zelf ff inloggen en via System/Update/Find New FRITZ!OS de update zelf ff forceren. Vergeet niet van tevoren een update van je configuratie te maken! Het gedownloade XML bestand is tevens een informatieve bron van de configuratie parameters van je FRITZ!Box.

Bij de eerdere melding, alhier op tweakers; downloads: AVM Fritz!box Fon Wlan 7490 113.06.83 over de 6.83 update, is al de nodige info verstrekt.

[toevoeging]
"Een woordvoerder van Xs4all, dat gebruikmaakt van FritzBox-apparaten, laat aan Tweakers weten dat de Nederlandse versie van de firmware de kwetsbaarheid niet bevat"
Imho is er geen specifieke Nederlandse versie van de firmware! Er is een Duitse versie en er is een internationale versie (waar Nederlands als landinstelling taal inzit). (en vaak een Schweiz/Austria versie) Dat is toch wel een nuanceverschil. ;)

[Reactie gewijzigd door ehtweak op 20 april 2017 14:05]

Er is wel een Nederlandse versie van de firmware. Bij het instellen van je verbinding kun je dan ook Nederlandse providers kiezen. Kies je bijvoorbeeld xs4all, dan heb je weer de keus uit FTTH of DSL.
Klopt, maar de interface blijft engels....
Nou .. in de internationale versie zitten diverse talen .. maar niet het Nederlands :+

(Op zich klopt het dus, de Nederlandse versie heeft het niet ... :P)

[Reactie gewijzigd door ReneX op 20 april 2017 11:47]

Voor de belgen gaat het terug wachten zijn op Proximus om deze patch te kunnen instaleren.
Kan nog maanden duren tegen dat de 6.83 firmware goedgekeurd is.
Is dat provider afhankelijk dan? In een xs4all fritzbox kan ik in de webinterface gewoon kiezen voor 'update firmware' en dan haalt ie deze zelf binnen van AVM
Proximus moet de firmware eerst goedkeuren.
Enkel goedgekeurde firmware zal werken op het proximus netwerk, indien je manueel de internationale firmware download en instaleert riskeer je op een repair profiel te geraken en je snelheid zal dan ook dramatist zakken.
Proximus is de beheerder van de telefoon in belgie, de andere olo providers moeten dan maar naar de pijpen van proximus dansen.
Dat telt dan enkel wel voor mensen die VDSL hebben, wie dsl heeft kan er niet erger aan toegaan kwestie van snelheid :)

[Reactie gewijzigd door ps22geert op 20 april 2017 10:57]

Geldt dit dan eigenlijk ook voor andere providers zoals EDPNet, Scarlet, Dommel enzovoort? Ze maken wel gebruik van het netwerk van Proximus maar kunnen misschien hun eigen eisen stellen :)
Die moeten zich spijtig genoeg aan de regels van Proximus houden.
Helaas voor de 7581 nog steeds de 6.80 versie:
http://ftp.avm.de/fritz.b...-it-fr-pl.152.06.80.image

Nog maar even doorploeteren met spontane reboots en wegvallende DECT telefoons, met de 7390 nauwelijks last van gehad ;(
Ik heb met mijn 7581 het idee dat de telefoon het beter doet als je die registreert via "Telephony / Telephone Devices / Configure New Device" dan via DECT...
Weer een voorbeeld waarom we moeten stoppen met de C programmeertaal te gebruiken voor kritische systemen die op het internet aangesloten zijn..

Gebruik C++ met STL en garbage collection!! Gebruik class libraries zoals QT en wxWidgets!!!

[Reactie gewijzigd door ArtGod op 21 april 2017 11:42]

Ik blijf mij ook verbazen waarom "men" (niet alleen AVM trouwens) zo aan C blijft hangen. C++ is ook niet zaligmakend, maar "men" lijkt wel erg "traditioneel" bezig te willen blijven.

Daarnaast zijn er ook tools en coding standards om fouten te vinden en/of het risico daarop te beperken.
Staat deze proof of concept toevallig ergens op GitHub of ergens anders online? Ik ben wel nieuwsgierig hoe dit in elkaar zit
Volgens het artikel van Heise zit het probleem in het VOIP-gedeelte van het apparaat. Als mijn Duits me niet in de steek laat dan kun je een bufferoverflow veroorzaken in de VOIP-software en zo toegang krijgen tot het systeem. Als je VOIP blokkeert dan ben je waarschijnlijk niet kwetsbaar.
Er waren wel hackers actief in de bewuste periode, als ik mijn fritzbox logboek mag geloven.

6.8x heeft gelukkig ook een betere beveiliging, tegen stommiteiten van gebruikers.
Zo moeten bepaalde handelingen met de vaste telefoon bevestigd worden.(kan ook uit)
Een beter logboek en push service om het in de gaten te houden.

En ze hebben een goede helpdesk, die serieus naar de klanten luistert.
Windows is al jaren lang, zo lek als een mandje; Dus waar klagen we over.
Omdat een ander product fouten bevat is het plotseling OK dat dit ook fouten bevat?
Beetje rare redenatie, vind je niet?
En ze hebben een goede helpdesk, die serieus naar de klanten luistert.
Deden die maar meer dan alleen luisteren ... (en soms zelfs dat niet).

AVM heeft een serieus probleem met hun ontwikkelproces. Nieuwe functies en fixes lopen bv door elkaar heen, het gevolg men repareert het één en breekt het ander. Testen lijkt er soms helemaal niet bij te zijn (getuige de soms werkelijk onnozele bugs in de firmware).

Ik ben al jaren gebruiker van de Fritz!Box (nog voordat er internationale versies van waren), maar je ziet duidelijk dat de AVM R&D niet meegeschaald is met de toename van het aantal modellen en markten.
Oh leuk, dus naast dat m'n gloednieuwe 7581 van XS4ALL zo brak is als een mandje is ie dus ook zo lek als een mandje.

7581 is een van weinige nieuwe modellen van AVM die nog op 6.80 zit sinds Februari.

Er zijn beta's, maar AVM en XS4ALL zijn volop in test fase (lees we don't have a clue what's wrong with this modem for the majority of the users).
De kans dat een 7581 hier last van heeft is erg klein. Zo ligt hij bij mij te verstoffen, en bij anderen valt de verbinding zo vaak uit dan het niet leuk meer is om een exploit te gebruiken :+
Ja hier ook

Ik heb nog twee 7581s in een doos liggen thuis. M'n good old 7490 maar weer terug gezet die gewoon werkt. 8-)

Zag vanmorgen op xs4all.adsl (newsgroup) dat er een nieuw record met herstarts is.... 130 seconden...
XS4ALL modems zijn dus niet lek, zie toevoeging
Nee, maar de XS4ALL modems hebben heel andere problemen die nog steeds niet zijn opgelost door AVM. Blijkbaar heeft AVM het iets te druk gehad waardoor er geen tijd was voor de XS4ALL problematiek.
Tja.. Dat is de reden waarom ik mijn modem van Ziggo in bridge modus heb, en een eigen router geinstalleerd heb.
Volgens mij kunnen Fritzboxen niet in bridge mode. Ik heb al sinds vele jaren een debian-bak direct achter m'n adsl modem hangen, die eigenlijk de "echte" router/firewall is voor het lokale netwerk (naast nog een hoop andere taken), maar dat was eigenlijk een dubbele NAT. Begin van de maand is echter mijn oude Speedtouch overleden en heb toen een nieuwe moeten kopen. Dat was dus een goede gelenheid om van de dubbele NAT af te komen. Na wat research viel de Fritzbox al af want ik kon nergens een aanwijzing vinden dat ie bridge mode zou ondersteunen. Nu heb ik een TP-link staan, waar ik ook nog OpenWRT op zou kunnen zetten als er problemen met de standaard firmware op zouden duiken :P
Liever heb ik op mijn Ziggo lijn de AVM, echter wil Ziggo de gegevens niet verstrekken (PPPoE of static?). Daarom heb ik een verbinding met 5 IP adressen, zodat ik niet met bridge mode hoef te werken.

[Reactie gewijzigd door Trommelrem op 20 april 2017 11:48]

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*