Für die 7490 ist ein Update auf 6.03 vorhanden. Gerade eingespielt.
Zum Glück war ich nicht betroffen, aber es scheint ja ohnehin nur ein paar unglückliche getroffen zu haben. Gut, dass AVM so schnell reagiert hat.

7390 auch. AVM entwickelt kontinuierlich und scheint gut zu reagieren. Das nennt man doch mal Service und Kundenpflege

Simpler Tipp für die Zukunft: Services nicht auf ihren default Ports zu betreiben, hilft meist schon, aus dem Raster zu fallen (denn solche Angriffe erfolgen ja im Regelfall nicht "zu Fuß" bzw. individuell sondern da werden Skripte angesetzt, die das ganze Internet --bzw. im Fall von Fritzboxen eher Teile -- abklappern und zwar gezielt auf die Kombination Port + verwundbare Software).

Konkret: Den Fernwartungszugang der Fritzbox eben nicht auf Port 443 lauschen lassen sondern auf einem anderen im mittleren dreistelligen Bereich. Dito für "Portfreigaben", also wenn die Fritzbox bzw. generell der Internet Access Router Verbindungen an Devices dahinter durchreicht. SSH eben nicht auf Port 22 rausreichen sondern bspw. auf 33322, usw. usf.

Billige Maßnahme, die in solchen Fällen meist schon ausreichend ist, um bei einem automatisierten Scan auf Verwundbarkeit durchs Raster zu fallen und trotz existenter Lücke verschont zu bleiben.

Das Update auf 6.03 für die 7390 ist gestern Vormittag rausgekommen. Sicherheitshalber sollte man aber alle auf den AVM-Sicherheitsseiten empfohlene Einstellungen checken und sämtliche in der Box gespeicherten Zugangsdaten / Passwörter für E-Mail (Push-Benachrichtigungen, Cloud-Speicher, inkl. VPN - nicht nur MyFritz) aus der FritzBox löschen und erneuern. So ganz sicher sind sie sich offenbar noch nicht...

Prima auch für Kabelinternet-Kunden, da kommt ein Firmewareupdate für die Kabelversionen der FritzBox zentral vom Provider und das kann mal wieder dauern. Also alles ausschalten und keinen Zugriff von außen ermöglichen bis die Sicherheitslücke von AVM bestätigt geschlossen wurde und die Box über den erforderlichen neueren Softwarestand verfügt.

Immerhin ist AVM hier sehr flott und informiert umfassend. Andere Router Hersteller juckt das weniger, wie man von Asus und Co. zu Sicherheitslücken so liest. Von Kabel Deutschland habe ich bspw. betreffend der Fritzbox noch keinen Sicherheitshinweis bekommen, zumal Kabel Deutschland selbst DynDNS-Services für Ermöglichung eines Remotezugriffs auf die Router im Kundenbereich angeboten hat. Da kann man ja auch davon ausgehen, dass einige Kunden das auch so machen. Letztlich ist man aber eben immer selbst verantwortlich für das eigene Handeln.

Doch, inzwischen ist es "amtlich", dass die Eindringlinge eine Schwachstelle der AVM-Software ausgenutzt haben (nicht HTTPS selbst kompromittierend sondern AVMs Dienst, der dort läuft), dass sie vorher keine Zugangsdaten hatten und dass sie auf dem Weg Vollzugriff auf die Box hatten (sonst wäre keine Einrichtung von Telefoniegeräten möglich gewesen). Und das alles bedeutet im Endeffekt: Sie konnten dann an der Stelle auch sämtliche Account-Daten, die in der Fritzbox hinterlegt sind, abgreifen (und derlei Accounts können ja mittlerweile einige sein)

Betreffen tut das Problem alle, die in der Vergangenheit Fernzugriff zugelassen haben oder bzw. MyFritz verwendeten (weil Letzteres auf Ersterem aufsetzt). Und es reicht nicht, nachzuschauen, ob bei einem neue Telefoniegeräte eingerichtet wurden. Man kann auch einfach so Opfer von Identitätsdiebstahl geworden sein.

Letztlich ist sowas eigentlich mal wieder eine gute Lektion in Sachen Datensparsamkeit: Wer einem Stück Technik Account-Informationen anvertraut (bspw. einer Fritzbox die Zugangsdaten zu seinem Mail-Account, um was auch immer damit zu machen), diese Account-Informationen einen gewissen Stellenwert haben (bspw. Google Mail) bzw. mit weiteren Diensten gleichgeschaltet (Google Drive im Beispiel) bzw. verknüpft sind (Google+ Authentifizierung für Dienste/Accounts ganz woanders) und über solchen Accounts wiederum relevante Handlungen für andere Accounts stattfinden können ("Paßwort zurücksetzen"-Funktion sendet neues Paßwort an Mail-Account), handelt irgendwie... ziemlich unklug

Und wer sich angesichts der Erwähnung von Google in Sicherheit wiegt: Pustekuchen, auch im Apple-Mikrokosmos ist man seine digitale Identität auf gleichem Weg blitzschnell los, wenn man wüst Accounts verknüpft und mit Zugangsdaten leichtsinnig in der Gegend herumwirft (bspw. auf Fritzboxen oder anderen Technik-Gadgets speichern lassen). Man google bspw. nach »Mat Honan hacked«...

FritzBox 7270, neue Firmwareversion 74.05.54.
Grundsätzlich bin ich von den Problem von Haus aus nicht betroffen, betreffende Ports sind / waren bei mir nicht aktiviert.

Wenn es aber eine Sicherheitslücke war und keine Nachlässigkeit der Kunden mit ihren Zugangsdaten, wer kommt jetzt für den entstandenen Schaden auf?

Auf das letzte AT/CH Update der 7270 warte ich immer noch. Es kann doch nicht so schwer sein es fast zeitgleich mit der DE Version herauszubringen.

Bei mir kann die Fritzbox das Update nicht laden und beendet das mit einer Fehlermeldung (Datei zu Klein). Sind die Server überlastet? Hat jemand anders das Problem auch?

Normal rennt meine Fritzbox ohne jedes Problem.

MacMichael

So, nach etwas warten hat es im 4. Versuch geklappt. Vermute, dass da die Server überlastet waren.

Mac Michael

Mittlerweile sind weitere Updates erschienen. Auch für die Kabelboxen

http://www.avm.de/de/Sicherheit/hinweis.html

heise (11.02.2014): Kommentar zum Hack gegen AVMs Fritzbox-Router: fieser Fehler, professionelle Reaktion
Ungewollte Hintertüren in Routern öffnen sich in Abständen immer wieder mal. Erst daran, wie zügig sie geschlossen werden, erkennt man, wie ernst es der Hersteller mit dem Kundendienst meint.

Bisher Updates für mehr als 20 Geräte. Klasse!