Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 129 reacties
Submitter: ehtweak

AVM heeft het lek in zijn FritzBox-routers gevonden en een update uitgebracht. Xs4all, die de routers levert aan klanten, raadt aan de update zo snel mogelijk te installeren. Wel blijft het advies om remote access uit te schakelen voorlopig van kracht

Het gaat om een eerste update voor de firmware van de FritzBox-modellen met typenummers 7390, 7360 en 7340. De patch is door te voeren via de wizard in de firmware van de modem en brengt de firmwareversie naar 6.03. "Hoewel de oorzaak lijkt gevonden, gaat het onderzoek nog door", meldt Xs4all.

AVM, de maker van de FritzBox, zegt de aanvalsmethode inderdaad gevonden te hebben: kwaadwillenden konden de router via poort 443 binnendringen en wachtwoorden onderscheppen. Totdat meer zekerheid bestaat over het dichten van het lek, blijft het advies om remote acces via poort 443 uit te schakelen. "We adviseren onze klanten bovendien het wachtwoord van hun modem, en de wachtwoorden van telefonie-accounts te wijzigen", laat Xs4all daarnaast weten.

Donderdag werd bekend dat klanten van Xs4all het slachtoffer zijn geworden van een probleem met de FritzBox-routers die de provider gebruikt. Kwaadwillenden konden achter het wachtwoord van de router komen en onder andere dure telefoonnummers bellen, waardoor de klanten torenhoge rekeningen kregen. Overigens geldt het probleem voor alle gebruikers van de desbetreffende routers, niet alleen de klanten van Xs4all. Vooral in Duitsland zijn de FritzBox-modellen populair.

Moderatie-faq Wijzig weergave

Reacties (129)

Fritz!box 7270 heeft nu inmiddels ook een update:

FRITZ!OS 05.54
Firmware-Version: 74.05.54

Nu maar hopen dat de VPN-server van Fritz!box veilig blijft.
Zolang de hardware niet open source is en goed bekeken en getest is door talloze onafhankelijke experts, heb je grotere kansen dat dit soort dingen zullen plaatsvinden. En wie zegt dat de aanvalsmethode die de aanvallers hadden gebruikt een opzettelijke backdoor is geweest die opgezet is door bepaalde agentschappen?

[Reactie gewijzigd door archive23 op 8 februari 2014 12:52]

Zolang de hardware niet open source is en goed bekeken en getest is door talloze onafhankelijke experts, heb je grotere kansen dat dit soort dingen zullen plaatsvinden.
Open Source is geen garantie tegen bugs, exploits en foutjes. Software is en blijft mensenwerk. En daar kan dan dus wel eens zoiets in ontstaan.

Overigens meen ik te herinneren dat enkele jaren geleden ook een variant van Linux werd beschuldigd van backdoors van de FBI in de netwerk onderdelen.
Sterker nog, open source is geen enkele garantie voor extra veiligheid, zulke projecten hebben dan wel als plus dat meerdere mensen kunnen 'meebouwen' aan de veiligheid, maar daar staat tegenover dat iedereen in de code kan kijken (om fouten te zoeken en misbruiken) en ook mensen met kwade bedoelingen code kunnen toevoegen.
Mensen met kwade bedoelingen kunnen net zo goed bij dat bedrijf werken, en dan weet niemand ervan. Als de code door iedereen inzichtbaar is, dan is het voor een kwaadwillende een stuk moeilijk om kwaadwillende code toe te voegen zonder dat dit opgemerkt wordt.

Voor toepassingen waar veiligheid een pre is, zou ik dan ook geen open source code gebruiken dat nauwelijks ge-audit is, want dan lurkt inderdaad het gevaar dat kwaadwillenden de code wél binnenstebuiten hebben gekeerd.
Als je voor een bedrijf werkt ben je echter een stuk minder anoniem dat als je aan een Open Source project werkt.
En is ook niemand buiten dat bedrijf in staat om code te controleren.
De vraag is niet alleen of iemand het controleert maar of het uberhaupt kan.
Als je het zelf niet kan kun je bij OpenSource ten minste iemand inhuren o dat voor je te doen. [ ongeacht of het een anonieme bron is of niet ].
Als programmeur heb ik heel wat gedaan, wat nooit iemand buiten het bedrijf naar mij zou kunnen herleiden. Werknemers zijn meestal hartstikke anoniem: andere bedrijven zouden er toch eens achter komen wie er weg gekocht kan worden.
Als je weet wat je doet kun je beter garranderen dat opensource veiliger is dan bijvoorbeeld Windows zonder source toegang (je kan Windows niet auditen)

Microsoft/RedHat/Oracle zullen ook nog eens altijd onder de amerikaanse wet vallen en van hun winst zul je weinig terug zien in onze economie, dus daar kun je min of meer 0.0% van verwachten als het om veiligheid gaat.. (veiligheid op alle fronten.)
De veiligste Linux zou SELinux zijn.. die kun je hier downloaden:

http://www.nsa.gov/resear...ode/download-stable.shtml

O-)
Selinux is gewoon een loadable kernel module, wekt dus op eender welke distro. Is ook niet bijzonder, het voegt mandatory access control toe.
is inderdaad een module die sinds 2.6 standaard in de kernet zit.. met dank aan.... :Y) :Y) .
SELinux is geen linux, het draait in de linux kernel (als module) en zit standaard in meerdere distributies maar het is geen OS/distributie.
via de site van de nsa :D
Dus nu is elke fout een opzettelijke backdoor?
Er zijn altijd mensen die overal iets achter zoeken. Na het hele NSa verhaal zie mensen overal deurtjes en zijn ze er niet dan bedenken ze die wel.

Software ook voor de fritzbox is geschreven door mensen en die maken fouten.
De volgende fout die archive23 maakt is te stellen dat het geen open source is. Open source staat niet garant voor foutloos en fouten zorgen voor achterdeurtjes. Je kan wel stellen dat open source code to controleren is. Dat klopt en dus ook door mensen die fouten zien die anderen niet zien. closed source heeft dus ook zijn voordelen.
De code die er op draait is open source, maar de hardware niet. De "security through obscurity" techniek die toegepast wordt in closed source is inderdaad handig, maar om je veiligheid daar afhankelijk van te maken is dat dus niet zo'n goed idee.
Kan je misschien even aantallen geven hoeveel fabrikanten van ADSL-modems, routers, switches, wifi-ap's, smartphones, femtocellen, etc etc etc wel open is over hun firmware en hardware? Zullen we dan meteen even connected auto's, thermostaten en meer van die apparatuur meetellen?
Security through obscurity is nagenoeg standaard. Maar dat zegt niets over opzettelijke backdoors en blunders in de beveiliging. Het zegt meer iets over de markt - wat consumenten/afnemers eisen en voor lief nemen.
Jammer genoeg bijna geen. En dit is dan ook meteen de reden waarom dingen als dit makkelijker kunnen.
Goed punt, AVM heeft al niet een goede naam in de open source wereld.
http://webwereld.nl/devel...t-op-open-source-software
http://webwereld.nl/it-be...e-wint-rechtszaak-van-avm
Zelf wel de code gebruiken maar anderen het niet gunnen.
Zolang de hardware niet open source is en goed bekeken en getest is door talloze onafhankelijke experts, heb je grotere kansen dat dit soort dingen zullen plaatsvinden.
*Facepalm*

Nee, serieus? Meen je dit nu of ben je de /s tag vergeten? Denk je nu echt dat software veilig is zodra het open source is? En waarom is plots iedere fout een backdoor?
Wat heeft Open source er mee te maken. Zelfs bij Open source zou een dergelijke fout er in kunnen zitten.
Als het opensource is kunnen hackers door de sourcecode snuffelen naar foutjes die uit te buiten zijn of -alu hoedje op- kunnen de hacker deel uitmaken van de betreffende community en 'per ongeluk' een bugje toevoegen.

Daarnaast schijnen veel mensen niet te beseffen dat developers vaak onder onrealistische tijdsdruk worden gezet waarbij veel overuren worden gedraaid en een foutje is snel gemaakt. Wij zijn ook maar mensen.
Op een fritzbox draait busybox, dat is open-source. Natuurlijk maakt het absoluut geen jota uit of het closed of open source is, code is code zo simpel is het.

Open source hardware ? Wat moet ik me daar in hemelsnaam bij voorstellen, is dat het nieuwste buzzwoordje. Ik begin me te ergeren aan die open source advocaten, gelul in de ruimte, meer is het niet.

De gemiddelde consument zal het toch juiken, die wil gewoon een apparaat dat een bepaalde functie vervult, zoals een router.
Opensource wordt over het algemeen veel vaker gehackt, omdat een fout makkelijker is gevonden. Je kan gewoon letterlijk in de code zoeken naar fouten. Bij propriatary moet je het van buiten af zoeken wat een stuk moeilijker is. Overigens zie ik dit wel vaker dat mensen denken dat iets beter is omdat het opensource is. Echter slaat dat natuurlijk nergens op. Opensource betekent alleen maar dat je in de code kan kijken. Zegt verder helemaal niets over de kwaliteit van die code verder. Vraag me af of die mensen uberhaupt wel snappen wat opensource is. Is ook een beetje een buzz woordje geworden al

[Reactie gewijzigd door ro8in op 9 februari 2014 00:13]

Alsof open source daar iets aan gaat veranderen. Wat een onzin. Alsof elk open source ding door iedereen besnuffeld wordt op security. Ongefundeerde napraterij.

Je moet gewoon altijd de remote control 'feature' van je router uitzetten. Ik voel in ieder geval nooit de drang om dat ding vanaf een andere plek te benaderen. Ik zal wel bijzonder zijn, maar het is alleen maar een extra mogelijkheid om in te breken. En dan maakt het geen reet uit of je een open source router hebt of niet. Stop nu eens met het verkondigen dat open source de oplossing is voor alle problemen, want dat is niet zo! Denk toch eens na, aub!
Ben je niet vatbaar als je remote access op een andere poort dan 443 hebt ingeschakeld?
Of ben je dan wel vatbaar, maar wordt er niet (op grote schaal) aangevallen op poort 443?

[Reactie gewijzigd door nescafe op 9 februari 2014 17:45]

Helaas kan ik mijn fritzbox dan alleen de poorten 450 t/m 499 toewijzen. Dat zijn maar 50 poorten, dus is dat ook makkelijk voor een hacker.

De meest veilige methode om de router te bereiken van afstand is via een VPN verbinding
Hmm, ik weet niet of dit voor de update van vandaag ook al zo was, maar ik heb nu HTTPS access op een poort hoger dan 1000 open staan :).

Verder wel heel netjes dat AVM de update al zo snel klaar heeft.
Ik heb waarschijnlijk een andere Fritz!box waar ik alleen die 50 poorten kan toewijzen,

Het advies blijft om Remote Access uit te laten staan (De kans bestaat dat deze update het lek nog niet volledig heeft opgelost).

Hackers die een uitgebreide portscan uitvoeren zullen de poort vinden.
Klopt :). De vraag is echter of ze dat zullen doen :). Kost namelijk ook best wat tijd en het risico dat ze ge-blocked worden. Volgens grc.com zijn de meeste poorten die nergens op uit komen op de Fritz!box namelijk stealth. En dan kost zo'n poortscan dus flink wat tijd (het poortnummer waar ik nu op zit, zit in de 5 cijfers). Ook komen ze op diverse poorten daarheen eerst op mijn Synology uit.

Mijn eigen VOIP provider (Callvoip) heeft overigens inmiddels ook buitenlandse nummers, vooral in Oost Europa, geblokkeerd.
Ik heb screen grabs bewaard van mijn vorige firmware updates (7360), en kan zien dat dit al veranderd is sinds FW6.01.
Het was reeks 450-499, en nu is de toegestane reeks 1-65535.
Uiteraard. Verbaas me dat mensen überhaupt Remote administration aan zetten, zover ik weet is dat niet de default.
De leverancier van de Fritzboxen heeft aangegeven dat er een beveiligingsfout in de oude firmware zit die te misbruiken is als je remote access aan hebt staan. De fout zit niet in de toegewezen poort maar in de interface die je via de poort toegankelijk maakt.
Ik krijg hier: "An unspecified error occurred during the update. (2)". Schiet niet zo op dus. Straks nog eens proberen.
Gewoon nogmaals Zoeken op Update - en opnieuw installeren. 2e keer loopt het wel goed door.
Gewoon nogmaals Zoeken op Update - en opnieuw installeren. 2e keer loopt het wel goed door.
bij mij niet, maar dat kan ook door de huidige drukte komen. ik heb de laatste firmware gewoon van hun FTP server getrokken en aan de 7340 gevoerd, toen liep ie er wel netjes doorheen.
Er gaat nogal eens wat mis met automatisch updaten, weet ik uit ervaring.
Van versie 5 naar 6 ging het hier ook niet soepel.
van 6.01 naar 6.03 ging het zonder problemen.
Ik kan ieder aanraden de instellingen eerst te back-uppen.
Dan de image en recover software op je pc te zetten, mocht het toch mis gaan.
Dan pas de automatische update op gang brengen.

Download locatie van de update: ftp://ftp.avm.de/fritz.box/
Ik heb de update net gedraaid, maar nu is het "wachtwoord veld" verdwenen in Chrome. Via firefox werkt het wel. Iemand anders hier ook last van?
Bij mij na update geen problemen. Met zowel IE als Chrome (laatste versies). Misschien de computer opnieuw opstarten?
Ik ook, maar dan andersom. Ik had er bij Firefox last van. Ctrl+f5 en cookies trashen deed de trick.
Ik kan je bevindingen bevestigen, op windows althans. Op OSX is het bij mij juist andersom.
Nee, maar ik gebruik geen Chrome. Lukt het wel als je "fritz.box" in de adresbalk zet?
Ik heb de update net gedraaid, maar nu is het "wachtwoord veld" verdwenen in Chrome. Via firefox werkt het wel. Iemand anders hier ook last van?
daar heb ik ook vaak last van ( ook met de 5.x serie firmware ). even refreshen en dan zie je 't veld wel. (mac os x, met safari, dus ook webkit)
Refreshen had ik al geprobeerd. Cookies trashen zoals AW_Bos hieboven suggereerde werkte!
Mmm, vraagje,
Ik heb mijn port 443 ge-forward naar mijn linux server http://wiki.contribs.org/Main_Page
Is dat het zelfde als ze hier bedoelen? Open zetten voor remote acces via poort 443 uit te schakelen

Btw, mij update ging foutloos, win7 64bit Chrome.
Als het goed is kom je dan op je Linux server. En niet op het inlog scherm van je Fritzbox, waar de hackers binnen zijn gekomen.
Dat is niet hetzelfde. De kwetsbaarheid zit in de management service van je fritzbox. Staar je niet blind op de poort, het gaat er om of je de management service geactiveerd hebt voor het internet.
Waarom moeten ze dit zelf doen, de provider kan dit toch ook op afstand doen???
Goed dat je er over begint.
Die functie staat standaard aan in de fritzbox.
Die is hier in de 7390 als eerste uit gezet, toen ik hem kreeg.

Ik ben paranoia., maar soms is dat best goed.
Waarom moeten ze dit zelf doen, de provider kan dit toch ook op afstand doen???
Klopt, doen de meeste providers al jaren. Ik zie het probleem niet zo, eerder dat doordat je je klanten hierin vrij laat dat je juist gedoe krijgt. Veel mensen zijn nog altijd niet op de hoogte van dit lek, en gaan ook van de rest van hun leven zo'n modem niet handmatig updaten. Dit zou een provider uit veiligheidsoverwegingen en om die van de klant te waarborgen zelf moeten doen. Dat het juist een probleem was dat men er bij kon is niet te wijten aan de provider, maar aan de fabrikant die dit lek over het hoofd heeft gezien. Juist dan moet je een update bij al je klanten pushen. En dat is wat de meesten, zoals KPN, UPC en Ziggo zo ook al jaren doen. De redenering van "ja maar dan kunnen ze dit of dat" gaat niet op. Wil je controle over de routerfunctie, de meeste providers bieden bridge als optie aan. Zet je eigen router er achter, en je hebt alle vrijheid. Je modem is dan nog enkel een doorgeefluik. Staat even los van de telefoniefunctie die in het modem is ingebakken.
[...]
En dat is wat de meesten, zoals KPN, UPC en Ziggo zo ook al jaren doen. De redenering van "ja maar dan kunnen ze dit of dat" gaat niet op.
Die redenering gaat wel degelijk op. In de security wereld is iedere interface een potentieel doel. Zo'n standaard service om op afstand de modem van klanten te kunnen updaten is een extra interface en dus een potentiele zwakte voor de klant. Dit ongeacht of het apparaat automatisch updates gaat doen of een provider er van afstand opdracht toe geeft.
En laat het bestaan van een interface nu net hier de zwakte zijn geweest. Een crimineel heeft de interface ontdekt, onderzocht, zwakte gevonden en er misbruik van gemaakt. Dat zelfde risico bestaat bij een management service van/voor de ISP op die apparatuur.
Het blijft een risico afweging - in dit geval lag de afweging om een interface aan te zetten bij de klant. Bij die andere ligt het bij de providers maar is het risico alsnog voor de klant. Ongeacht of de provider later compenseert.
[...]

Die redenering gaat wel degelijk op. In de security wereld is iedere interface een potentieel doel. Zo'n standaard service om op afstand de modem van klanten te kunnen updaten is een extra interface en dus een potentiele zwakte voor de klant. Dit ongeacht of het apparaat automatisch updates gaat doen of een provider er van afstand opdracht toe geeft.
En laat het bestaan van een interface nu net hier de zwakte zijn geweest. Een crimineel heeft de interface ontdekt, onderzocht, zwakte gevonden en er misbruik van gemaakt. Dat zelfde risico bestaat bij een management service van/voor de ISP op die apparatuur.
Het blijft een risico afweging - in dit geval lag de afweging om een interface aan te zetten bij de klant. Bij die andere ligt het bij de providers maar is het risico alsnog voor de klant. Ongeacht of de provider later compenseert.
Ja leuk, klopt allemaal, maar waar het om gaat is dat een provider een firmwareupdate pushed, en waarom daar iets op tegen is. Je hebt gelijk als het gaat om een extra service en poort 443 openstond. Dat is een extra handicap. Toch vind ik persoonlijk dat een provider de veiligheid m.b.t. haar eigen apparatuur dient bij te houden en te onderhouden en niet enkel bij de klant neer te leggen. Want het modem is in bruikleen en de provider is daar de eigenaar van. Die geven het een klant, omdat zo'n device nou eenmaal nodig is voor het leveren van de diensten. Dus mag diezelfde provider ook de veiligheid waarborgen.
De mensen die xs4all als provider kiezen, zijn over het algemeen mensen die gebruik maken van de meer geavanceerde opties die geboden worden. En die juist niet willen dat vanalles door de strot geduwd wordt door de provider. Bij veel internetproviders zie je dat de routers met aangepaste firmware worden geleverd waardoor verschillende beperkingen onstaan, bij de FRITZ!Box (en meer services die geboden worden) heb je alles in eigenhand en dat is wel zo fijn.

[Reactie gewijzigd door soundblast op 9 februari 2014 12:57]

Tuurlijk, zet maar open die tent.

En dan natuurlijk naderhand klagen dat dat de AIVD je handeltje bespioneert. :D
Dan staat poort 433 waarschijnlijk open. Dat is nou net het probleem waardoor hackers toegang hadden
Dan staat poort 433 waarschijnlijk open. Dat is nou net het probleem waardoor hackers toegang hadden
Je bedoeld poort 443 ;)
Ja poort 443, Sorry
Los van de legale toestanden. De sourcecode staat al jaren gewoon op hun publieke FTP server.

Open Source heeft enkel als voordeel dat eenieder kennis kan nemen van de broncode, blijft wel nog de praktische vraag wie genoeg kennis en tijd heeft om tienduizenden regels code door te nemen alvorens een stukje software in gebruik te nemen.
Niet alle sourcecode. Er zitten binary blobs in, o.a. voor de NAT/firewall. Net die dingen die erg boeiend zijn ivm veiligheid.
Je hoeft niet in te loggen op je modem, gewoon hier even testen:
https://www.xs4all.nl/klant/veiligheid/telefoniemisbruik/
thnx voor de link. Wist het niet meer zeker maar mijn poort 443 zit idd lekker dicht.
'een bedrijf raad klanten aan een lek te dichten met een update' is dit serieus een nieuwsbericht op tweakers waardig? we weten allemaal toch hopelijk wel dat je updates een bugfix moet instaleren op het moment dat hij beschikbaar is. waarom staat dit dan niet tussen alle andere updates in de meuktracker?
Ik vind het in ieder geval prettig dat deze update op de website is geplaatst zodat ik meteen actie kon ondernemen!
Inderdaad. Xs4all is nog steeds een redelijk grote ISP in Nederland. Het zou me niets verbazen als xs4all juist bij Tweakers-lezers extra populair is.

Ik ben klant. Ik heb geen email of bericht van ze gehad. (Da's niet goed, imho). Gelukkig lees ik Tweakers. Software is ge-update naar 6.03.
Ik heb ook geen bericht van xs gehad, maar de remote access stond dicht. Ze hebben al hun klanten getest op het openstaan van de betreffende poort en zo je een mail gestuurd.
Da's niet handig, als je het op niet standaard poort draait mailen ze ook niet...
Kreeg zelf netjes een mail van AVM.
Omdat dit een serieus probleem is? Dat wordt ook gedaan met updates van Microsoft, Adobe en ga zo maar door. Als het een bekend en gevaarlijk euvel is heeft het een plaats op de frontpage verdiend.
Inderdaad, vooral gezien het feit dat er misbruik werd gemaakt van dit lek. XS4all vergoedt de kosten voor hun klanten, maar het is de vraag of andere providers dit ook doen.
Wij weten inderdaad dat je bugfixes en dergelijken zsm moet installeren, ja. Alleen is "wij" maar een heel klein deel van internettend Nederland en de overgrote meerderheid van de gebruikers doet helemaal niets aan updates of security tenzij dat automatisch gebeurt. Ik durf te wedden dat de meeste mensen niet eens weten hoe ze die wizard in de firmware moeten vinden, laat staan gebruiken.

Kan XS4All die update overigens niet gewoon naar alle aangesloten boxen pushen? Voor zover ik weet kunnen Ziggo en UPC dat namelijk wél.
'een bedrijf raad klanten aan een lek te dichten met een update' is dit serieus een nieuwsbericht op tweakers waardig? we weten allemaal toch hopelijk wel dat je updates een bugfix moet instaleren op het moment dat hij beschikbaar is. waarom staat dit dan niet tussen alle andere updates in de meuktracker?
Het is abslouut nieuws & Tweaker waardig. Erg fijn dit soort nieuwsberichten te mogen lezen. Het past helemaal in de lijn van deze website, daarvoor heet het niet voor niets de grootste elektronica- en technologiewebsite van Nederland en België. Als je iets anders verlangt zit je hier verkeerd.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True