Ich versuche seit Stunden mit der FB abzufragen, ob es ein Pudate für die Firmware gibt - es gelingt nicht. Jeder Versuch endet mit
1 | Die Suche nach einem neuen FRITZ!OS ist fehlgeschlagen. |
|
Forum: PC Hard- und Software Updateserver für Fritzbox 7270 nicht erreichbar?Ich versuche seit Stunden mit der FB abzufragen, ob es ein Pudate für die Firmware gibt - es gelingt nicht. Jeder Versuch endet mit
Du weißt, daß man die Firmware von AVM auch separat herunterladen und in die Fritzbox einspielen kann? Je nach Hardwareversion: http://download.avm.de/fritz.box/fritzbox.fon_wlan_7270_v1/firmware/deutsch/ http://download.avm.de/fritz.box/fritzbox.fon_wlan_7270_v2/firmware/deutsch/ http://download.avm.de/fritz.box/fritzbox.fon_wlan_7270_v3/firmware/deutsch/ Keine Ahnung, woran man die verschiedenen Versionen unterscheiden kann, ansonsten sind die letzten Versionen vom Oktober 2015 (bis auf die Hardwareversion 1, für die gibts nichts aktuelles). Rufus Τ. F. schrieb: > Du weißt, daß man die Firmware von AVM auch separat herunterladen und in > die Fritzbox einspielen kann? Ja, das weiß ich... Dass die FB-Updatefunktion scheitert, ist allerdings schon komisch. Hängt das vielleicht mit dem Telekom-Problem irgendwie zusammen? Mich wundert jedenfalls, dass man nirgends was vom Typ der betroffenen Router liest... Uhu U. schrieb: > Mich wundert jedenfalls, dass man nirgends was vom Typ der betroffenen > Router liest... Man liest aber, dass AVM Geräte nicht betroffen sind. Uhu U. schrieb: > Dass die FB-Updatefunktion scheitert, ist allerdings schon komisch. Vielleicht ein 7270-spezifisches Problem? Meine 7390 war gerade der Ansicht, nichts neues zu finden (und nicht nichts finden zu können). Probier's halt nochmal. Uhu U. schrieb: > Mich wundert jedenfalls, dass man nirgends was vom Typ der betroffenen > Router liest... Doch, es betrifft die Billigkisten der Telekom namens "Speedport". https://blog.fefe.de/?ts=a6c296cf Und weil die oft gemeinsam mit dem Anschluß verkauft werden (bzw. vermietet), und noch dazu die Fernkonfiguration standardmäßig eingeschaltet ist, war das ein lohnendes Ziel für einen Angriff. Huh schrieb: > Und weil die oft gemeinsam mit dem Anschluß verkauft werden (bzw. > vermietet), und noch dazu die Fernkonfiguration standardmäßig > eingeschaltet ist, war das ein lohnendes Ziel für einen Angriff. Es ist noch viel schlimnmer, wenn du das Gerät von der Telekom mietest darfst du die Fernkonfiguration gar nicht ausschalten. Und den aktuellen Angriff muss man auch mal im Zusammenhang mit dem folgenden Artikel betrachten, vor zwei Jahren tönte man noch groß herum, dass die eigenen Geräte sicher seien: http://www.heise.de/netze/meldung/TR-069-Fernwartungsluecke-bei-DSL-Routern-Deutsche-Internetanbieter-bezeichnen-ihre-Netze-als-sicher-2299863.html Ich habe mich jetzt jedenfalls dazu entschieden mir eine Fritzbox zuzulegen und mein Telekom-Mietgerät (W921V) zurückgehen zu lassen. Die ist zwar auch nicht per Definition sicher, aber sie gehört dann mir und ich kann konfigurieren was ich will (oder auch nicht). :
Bearbeitet durch User
Daniel H. schrieb: > Und den aktuellen Angriff muss man auch mal im Zusammenhang mit dem > folgenden Artikel betrachten, vor zwei Jahren tönte man noch groß herum, > dass die eigenen Geräte sicher seien: > > http://www.heise.de/netze/meldung/TR-069-Fernwartungsluecke-bei-DSL-Routern-Deutsche-Internetanbieter-bezeichnen-ihre-Netze-als-sicher-2299863.html Zitat aus diesem Artikel: "Geräte der Telekom greifen nur auf den darin voreingestellten Fernwartungs-Server zu." Ich formuliere das mal um: Die SpeedPort-Router lassen einen Zugriff nur von voreingestellten Fernwartungs-Servern zu. Da muss man sich fragen, warum die Speedport-Router trotzdem gehackt werden konnten. Kam also der Angriff direkt von einem Telekom-Fernwartungs-Server? Vielleicht wird der Updateserver grad nach Russland verschoben ... Frank M. schrieb: > Kam also der Angriff direkt von einem Telekom-Fernwartungs-Server? Beitrag "Re: Telekom-Router durch Virus lahmgelegt" c. m. schrieb: > TLDR; an einen offenen port wird eine SOAP-nachricht geschickt, wovon > ein teil von der firmware in einer shell ausgeführt wird: "downloade > schadprogramm; führe schadprogramm aus". :
Bearbeitet durch User
Daniel H. schrieb: > Frank M. schrieb: >> Kam also der Angriff direkt von einem Telekom-Fernwartungs-Server? > > Beitrag "Re: Telekom-Router durch Virus lahmgelegt" > > c. m. schrieb: >> TLDR; an einen offenen port wird eine SOAP-nachricht geschickt, wovon >> ein teil von der firmware in einer shell ausgeführt wird: "downloade >> schadprogramm; führe schadprogramm aus". Das ist doch ein alter Hut und längst bekannt. Du hast meine Frage offenbar nicht verstanden. Hier nochmal anders formuliert: Wenn die SpeedPort-Router nach Aussagen der Telekom nur Zugriffe auf den Port 7547 (TR069) von ihren eigenen Fernwartungs-Servern durch eine Whitelist zuließen, muss man dann daraus schließen, dass der Angriff von einem Telekom-Fernwartungs-Server ausging? Also wenn ich einen Paketfilter auf einem Router konfiguriere mit einer Whitelist, dürfte der Router für alle Geräte mit abweichender IP-Adresse taub und damit nicht angreifbar sein. Daraus schließe ich: Entweder ist die Aussage der Telekom von 2014 mit der Whitelist eine Lüge oder der Angriff ging tatsächlich von einem Telekom-Fernwartungsserver aus. EDIT: Wenn man den Aussagen des BSI glaubt, werden zur Zeit weltweit Router auf dem Port 7547 "angegriffen". Daher nehme ich an, dass die Whitelist in den SpeedPort-Routern gar nicht existiert. :
Bearbeitet durch Moderator
Port 7547 SOAP Remote Code Execution Attack Against DSL Modems https://isc.sans.edu/diary/Port+7547+SOAP+Remote+Code+Execution+Attack+Against+DSL+Modems/21759 Huh schrieb: > Doch, es betrifft die Billigkisten der Telekom namens "Speedport". > https://blog.fefe.de/?ts=a6c296cf Es leistet sich nicht jeder eine Teuerkiste von Fritz. Die haben im Moment auch Probleme, weil da ein Masterpasswort in den Routern abgelegt ist, welches nur Fritz wissen darf. Die betroffenen Router sind nur Speedport 921 und 723B. Frank M. schrieb: > Das ist doch ein alter Hut und längst bekannt. Du hast meine Frage > offenbar nicht verstanden. Doch, habe ich, ich bin davon ausgegangen, dass der verlinkte Beitrag (inklusive des dortigen Links) das Ganze aufklären. Bei TR-069 verbindet sich das Endgerät von sich aus zum Server. Was die Telekom in dem Heise-Artikel sagt (nämlich dass sich Telekom-Geräte nur mit Telekom-Servern verbinden) ist für mich eine Selbstverständlichkeit. Dadurch lässt sich aber keine Aussage darüber treffen, wie sich die Endgeräte verhalten wenn sie über den entsprechenden Port eine aktive Anfrage von außen bekommen. Ich kenne gerade die Details der TR-069-Lücke von 2014 nicht, ich vermute aber, dass es damals möglich war den Router durch eine Anfrage von außen dazu zu bringen sich mit einer beliebigen IP zu verbinden, was bei Telekom-Routern aufgrund der Whitelist nicht funktionierte. Die aktuelle Lücke nutzt aber eine Remote-Code-Execution-Lücke aus, so dass die Whitelist nicht greift. Daniel H. schrieb: > Dadurch lässt sich aber keine Aussage darüber treffen, wie sich die > Endgeräte verhalten wenn sie über den entsprechenden Port eine aktive > Anfrage von außen bekommen. Okay, dann verstehe ich das. Die Whitelist wurde nicht als Paketfilter realisiert, sondern auf Anwendungsebene (TR069). Das halte ich für ziemlich dämlich. michael_ schrieb: > Es leistet sich nicht jeder eine Teuerkiste von Fritz. > Die haben im Moment auch Probleme, weil da ein Masterpasswort in den > Routern abgelegt ist, welches nur Fritz wissen darf. Das ist bei den Kabel-Fritzboxen so, aber hier ist das Problem seit über nem Jahr bekannt und AVM hat die Anbieter dazu auch informiert. Wenn die dann Ewigkeiten lang ein altes/öffentliches Zertifikat durchwinken ist das nicht das Problem von AVM. > Die betroffenen Router sind nur Speedport 921 und 723B. 723 Typ A wohl auch. Reinhard S. schrieb: > Das ist bei den Kabel-Fritzboxen so Details dazu: https://www.heise.de/security/meldung/AVM-entweicht-geheimer-FritzBox-Schluessel-3463752.html https://www.heise.de/ct/ausgabe/2016-24-AVM-entweicht-geheimer-Krypto-Schluessel-3459813.html > Wenn die > dann Ewigkeiten lang ein altes/öffentliches Zertifikat durchwinken ist > das nicht das Problem von AVM. AVM hätte die Information offenbar etwas sensationsträchtiger formulieren müssen, damit sie nicht gleich in Ablage P verschwindet: "Bei uns meldete sich zwischenzeitlich ein Insider aus dem Dunstkreis der Provider und beklagte, dass AVM die Tragweite des Problems nicht kommuniziert habe." Unterhalb von Problemlevel=Desaster gilt halt überall die Regel "never change a running system". Nicht jeder sieht einer nüchternen Meldung an, welche Konsequenzen sie hat. Was manchmal auch Absicht ist. Eine Problem-Meldung wird von Herstellern gerne so verfasst, dass sie auf den ersten Blick undramatisch klingt. Damit keine grosse Affäre draus wird, wenn sie in Hände gerät, für die sie nicht gedacht ist. Bloss setzt das voraus, dass der Leser, für den sie gedacht ist, sie trotzdem versteht. :
Bearbeitet durch User
Reinhard S. schrieb: >> Die betroffenen Router sind nur Speedport 921 und 723B. > > 723 Typ A wohl auch. Nein! Den Telekomikern nach nur 723B. Reinhard S. schrieb: > Die betroffenen Router sind nur Speedport 921 und 723B Nein, es sind viel mehr Geräte im Focus, aber nur denen mit MIPS und kaputter Telekom-Crapware hat's am WE die Schuhe ausgezogen. Die Scans waren viel weiter gestreut als nur im "Telekom-Netz". Die Downloadserver der "bösen Jungs" geben noch mehr her, die Nummer entspricht dem Dateinamen: 1: ELF 32-bit LSB executable, MIPS, MIPS-I 2: ELF 32-bit LSB executable, MIPS, MIPS-I 3: ELF 32-bit LSB executable, ARM 4: ELF 32-bit LSB executable, Renesas SH 5: ELF 32-bit MSB executable, PowerPC or cisco 4500 6: ELF 32-bit MSB executable, SPARC 7: ELF 32-bit MSB executable, Motorola 68020 Bleibt abzuwarten, wo die Infektion (unbemerkt) funktioniert hat. Unter Beachtung dieser Tatsachen nimmt sich die Berichterstattung in nahezu allen Medien geradezu lächerlich aus. Jupp schrieb: > Unter Beachtung dieser Tatsachen nimmt sich die Berichterstattung in > nahezu allen Medien geradezu lächerlich aus. Allerdings... Frank M. schrieb: > Daraus schließe ich: Entweder ist die Aussage der Telekom von 2014 mit > der Whitelist eine Lüge oder der Angriff ging tatsächlich von einem > Telekom-Fernwartungsserver aus. In den hier vorliegenden Syslogs kamen am 26.11. und 27.11. massiv Anfragen gegen den Port 7547. Eine Häufung aus Brasilien, aber keine IPs von Teledumm. michael_ schrieb: > Es leistet sich nicht jeder eine Teuerkiste von Fritz. Ich lache mich tot, die Plastebox "Teuerkiste" zu nennen. Meinen Zugang macht ein deutscher Router aus deutscher Fertigung, für dessen Preis bekommst Du zwei Plastikfritzen gehobener Ausstattung. Leider braucht man erstmal einen Lehrgang, den beherrschen zu könnnen. Im Gegensatz zu dem ganzen Kinderkram darf ich mein Netz als sauber kontrolliert betrachten. Daniel H. schrieb: > Bei TR-069 verbindet sich das Endgerät von sich aus zum Server. Was die > Telekom in dem Heise-Artikel sagt (nämlich dass sich Telekom-Geräte nur > mit Telekom-Servern verbinden) ist für mich eine Selbstverständlichkeit. > Dadurch lässt sich aber keine Aussage darüber treffen, wie sich die > Endgeräte verhalten wenn sie über den entsprechenden Port eine aktive > Anfrage von außen bekommen. Das ist ja nun hinreichend publiziert und belegt worden: Die Router lassen sich von extern ansprechen und updaten / umkonfigurieren. Das Endgerät verbindet sich immer zum Server, nämlich zum RADIUS, der die Berechtigung prüft. Erst danach trifft der Server die Entscheidung, ob er etwas schicken will. Noch etwas unklar ist, ob es wirklich TR-069 war oder ein Loch in TR-064 existiert. Ich finde es schade, dass die Hacker schlechte Software gemacht haben, ein Austausch von knapp einer Million Idiotenroutern hätte mir deutlich besser gefallen. Manfred schrieb: > Ich lache mich tot, die Plastebox "Teuerkiste" zu nennen. Das ist wohl relativ zu verstehen. Für die Verhältnisse von Privathaushalten gehört die Fritzbox schon zur gehobenen Klasse. Und sie ist nicht selten 5€/Monat teurer. Aber was habt ihr bloss immer gegen Plastik? Wenn ich den Kram nicht ins Rack einbauen oder aufeinander stapeln muss, dann ist es mir egal ob das Gehäuse aus Kunststoff, Alu oder Stahl ist, solange es thermisch passt. > Leider braucht man erstmal einen Lehrgang, Eben. Professionell habe ich u.A. ein paar Bintecs am laufen, früher ein paar Ciscos (IOS Geräte). Sind aber eindeutig nicht fuer gewerken bei das dumpkopfen. :
Bearbeitet durch User
Apropos Plastebox: Der Fritz 6490 bei mir daheim läuft eindeutig stabiler als das Cisco-Kabelmodem vom Business-Anschluss in der Firma. Letzteres will öfter mal kurz ausgeschaltet werden. > Es hat sich nichts geändert, seit gestern... Ich habe zwei 7270. Die eine war mal Telekom-DSL-Modem, seit Kabelmodem aber nur noch ISDN-GW, die hat 6.06 und sagt beim Update sofort "Es wurde kein neueres als das bereits installierte FRITZ!OS gefunden.". Eine zweite macht nur WLAN und hat 5.54. Die nudelt auch ewig rum und gibt am Ende einen Fehler. Musst also wohl manuell runterladen und einspielen... > Keine Ahnung, woran man die verschiedenen Versionen unterscheiden kann, Sagen sie auf auf der Startseite: "FRITZ!Box Fon WLAN 7270 v3" :
Bearbeitet durch User
A. K. schrieb: > Letzteres will öfter mal kurz ausgeschaltet werden. Im Gegensatz zu dem ganzen Kinderkram darf man das Firmennetz als sauber kontrolliert betrachten ;-) Georg A. schrieb: > Ich habe zwei 7270. Die eine war mal Telekom-DSL-Modem, seit Kabelmodem > aber nur noch ISDN-GW, die hat 6.06 und sagt beim Update sofort "Es > wurde kein neueres als das bereits installierte FRITZ!OS gefunden." Genau das tut meine 7270 nicht mehr. Die verhält sich wie deine mit 5.54, obwohl es eine v3 mit 6.06 ist. Uhu U. schrieb: > Im Gegensatz zu dem ganzen Kinderkram darf man das Firmennetz als sauber > kontrolliert betrachten ;-) Die Vorstellung vom "innen hui, aussen pfui", ist passé. Firmennetze sind nicht von sich aus sicher, da steckt jenseits kleiner Unternehmen mittlerweile auch ziemlich viel Aufwand und Überwachung drin. Aber es ging um die Standzeit vom Kabelanschluss. Ein Cisco-Kabelmodem (*), dem man einige Mal im Jahr einen Tritt verpassen muss, ist nicht direkt das, was ich mir unter einem Business-Anschluss vorstelle. In dem Fall ist es zwar nicht weiter tragisch, weil Testanschluss, aber diese (und andere) Erfahrung mit Unitymedia-Business sorgt dafür, dass diese Anschlusstechnik in kleinen Aussenstellen für uns keine Alternative zu DSL ist. Cisco ist übrigens ein grosser Freund von Plastik. ;-) :
Bearbeitet durch User
Heise haut in die gleiche Kerbe. Wenn ich nach ähnlichen Kommentaren hier im Forum auch noch Schlagzeilen wie "Tauscht marode Plasterouter endlich aus!" sehe, dann kommt bei mir allmählich der Verdacht auf, dass die wichtigste Massnahme zur Absicherung der Router im Ersatz des unsicheren Gehäusematerials besteht. ;-) :
Bearbeitet durch User
Ich habe bei AVM angefragt, warum der Update-Server nicht erreichbar ist. Die Wesentlichen Sätze der Antwort lauten:
Sehr bedenklicher AVM-Service, da sicher noch zahlreiche Geräte dieses älteren Typs im Umlauf sind! Das BSI erinnerte schon am 11.02.2014 die Fritz-Updates einzuspielen, bloß wenn keine vom Hersteller da sind? Soll da jetzt Bäcker, Fleischer, Arzt, Rentner usw. selbst welche machen? oszi40 schrieb: > bloß wenn keine vom Hersteller da sind? Der Update-Server bietet keine mehr. Der Webserver hingegen schon: Beitrag "Re: Updateserver für Fritzbox 7270 nicht erreichbar?" Die 7270 kam 2008 raus, die letzte Firmware ist von 2014. Das ist keine schlechte Support-Bilanz. :
Bearbeitet durch User
A. K. schrieb: > Der Update-Server bietet keine mehr. Der Webserver hingegen schon: > Beitrag "Re: Updateserver für Fritzbox 7270 nicht erreichbar?" Stimmt da ist noch was zu holen (54.04.89). Die unterschiedlichen HW-Versionen 7270 V1-V3 werden bei routerfaq erklärt:https://www.router-faq.de/?id=fbinfo&hwf=fbfonwlan7270v1#fbfonwlan7270v1 z.B. letzter Patch v1 End of Support : 31.12.2013 (Herstellerangabe) v1 Firmware-History : 54.04.89 -> 02/2014 (Fernzugriff Patch) v2 End of Support : 01.03.2015 (Herstellerangabe) v2 Firmware-History : 54.06.06 -> 10/2015 v3 End of Support : 01.03.2015 (Herstellerangabe) v3 Firmware-History : 74.06.06 -> 10/2015 oszi40 schrieb: > (Fernzugriff Patch) Für dieses Problem brachte AVM Fixes für sämtliche Modelle, die das Problem hatten, egal wie alt, innerhalb von beachtlich kurzer Zeit. Auch die 7170 von 2005 wurde damit bedacht. Das ist nicht gerade branchentypisch. Es zeigt auch, dass sie darauf vorbereitet waren, offensichtlich die passenden Entwicklungsumgebungen für alle Modelle vorgehalten werden. :
Bearbeitet durch User
A. K. schrieb: > Für dieses Problem brachte AVM Fixes für sämtliche Modelle, die das > Problem hatten, egal wie alt, innerhalb von beachtlich kurzer Zeit. Deswegen ist es etwas befremdlich, dass der URL für die 7270-Updates plötzlich nicht mehr funktioniert. Uhu U. schrieb: > Deswegen ist es etwas befremdlich, dass der URL für die 7270-Updates > plötzlich nicht mehr funktioniert. Möglicherweise wird das Verfahren des alten Fritz nicht mehr unterstützt. Solche Verfahren können sich mit der Zeit ändern und vielleicht gilt das alte Verfahren heute als potentiell problematisch. Nur so als Idee. A. K. schrieb: > Möglicherweise wird Evtl. ist ein altes Zertifikat nun abgelaufen od. ungültig geworden? Bei der Kabel-Variante wurde ja irrtümlich ein Schlüssel mitgegeben. Ob deswegen noch mehr gesperrt wurde? A. K. schrieb: >> Leider braucht man erstmal einen Lehrgang, > Eben. Professionell habe ich u.A. ein paar Bintecs am laufen, früher ein > paar Ciscos (IOS Geräte). Sind aber eindeutig nicht fuer gewerken bei > das dumpkopfen. Merkwürdige Schreibweise "fuer gewerken bei das dumpkopfen." - aber dann weisst Du, von was ich rede :-) Manfred schrieb: > Merkwürdige Schreibweise "fuer gewerken bei das dumpkopfen." ;-) :
Bearbeitet durch User
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.
|
|