News AVM: Kritische Schwachstelle macht Fritzbox-Router angreifbar

PCGH-Redaktion

PCGH-Redaktion

Kommentar-System
Teammitglied
Jetzt ist Ihre Meinung gefragt zu AVM: Kritische Schwachstelle macht Fritzbox-Router angreifbar

AVM hat Anfang September Sicherheitspatches für zahlreiche Fritzbox- und Repeater-Modelle zur Verfügung gestellt. Zuvor konnten auch AVM-Geräte mit deaktiviertem Fernzugriff über eine kompromittierte Webseite angegriffen werden.

Bitte beachten Sie: Der Kommentarbereich wird gemäß der Forenregeln moderiert. Allgemeine Fragen und Kritik zu Online-Artikeln von PC Games Hardware sind im Feedback-Unterforum zu veröffentlichen und nicht im Kommentarthread zu einer News. Dort werden sie ohne Nachfragen entfernt.

Zurück zum Artikel: AVM: Kritische Schwachstelle macht Fritzbox-Router angreifbar
 
Das war sehr schlecht kommuniziert. Ich habe den Braten mit dem Remote-Zugriff trotz deaktivertem Zugang schon am Tag des Releases der 7.57 gerochen und alles in Gang gesetzt, damit sämtliche Geräte in meinem Bereich sofort gepatcht werden. Zum Glück ist nichts passiert.

Die Kommunikation von AVM finde ich miserabel. Wenn man ein so kritisches Update herausgibt, dann sollte man den Kunden mitteilen, dass sie sofort patchen müssen.
Stattdessen wird jetzt erst das Ausmaß der Lücke deutlich.
 
Schnitzelnator schrieb:
Das war sehr schlecht kommuniziert. Ich habe den Braten mit dem Remote-Zugriff trotz deaktivertem Zugang schon am Tag des Releases der 7.57 gerochen und alles in Gang gesetzt, damit sämtliche Geräte in meinem Bereich sofort gepatcht werden. Zum Glück ist nichts passiert.
Zum Vergrößern anklicken....

Vor allem, dass es trotz Passwortschutz (und deaktiviertem Zugang?) anfällig ist... :wow:
 
Schnitzelnator schrieb:
Die Kommunikation von AVM finde ich miserabel. Wenn man ein so kritisches Update herausgibt, dann sollte man den Kunden mitteilen, dass sie sofort patchen müssen.
Zum Vergrößern anklicken....
Ich denke AVM hat sich zu sehr drauf verlassen, das die meisten Kunden die Auto-Updatefunktion der Fritz Box aktiviert haben...

Und das hier wird es (wahrscheinlich) auch nicht besser machen, in Zukunft:
www.pcgameshardware.de

Fritzbox: AVM sucht Käufer für das Unternehmen [Bericht]

Beim Fritzbox-Hersteller AVM sucht man offenbar einen Käufer für das Unternehmen.
www.pcgameshardware.de www.pcgameshardware.de
 
Painkiller schrieb:
Und das hier wird es (wahrscheinlich) auch nicht besser machen, in Zukunft:
www.pcgameshardware.de

Fritzbox: AVM sucht Käufer für das Unternehmen [Bericht]

Beim Fritzbox-Hersteller AVM sucht man offenbar einen Käufer für das Unternehmen.
www.pcgameshardware.de www.pcgameshardware.de
Zum Vergrößern anklicken....

Das hab ich neulich bei Heise auch gelesen.
Leider kann man sich aufgrund der Aggressivität das Forum dort nicht antun.

Wenn AVM verkauft ist, werden vieeeele Nutzer, oder die die es werden wollen. gespannt den weiteren Verlauf der Entwicklung der Qualität der AVM Produkte verfolgen. Zumindest IT affine Menschen, die auch hier im Forum aktiv sind.
 
ShingoSan schrieb:
Wenn AVM verkauft ist, werden vieeeele Nutzer, oder die die es werden wollen. gespannt den weiteren Verlauf der Entwicklung der Qualität der AVM Produkte verfolgen. Zumindest IT affine Menschen, die auch hier im Forum aktiv sind.
Zum Vergrößern anklicken....
Jep! Vorallem wenn AVM ins Ausland verkauft werden sollte, wird es hoch her gehen! Denn durch die weite Verbreitung hätte der Käufer eine schöne Hintertür in deutsche und europäische Haushalte. Politisch ist das ebenfalls Zündstoff, wie damals bei KUKA auch schon. Hoffentlich besinnt sich AVM... Aber beim Thema Geld setzt es bei den meisten aus. :/
 
Einfach nur Ärger...
Ein Zertifikat für die Anmeldung kann man der Fritzbox anscheint nicht unterjubeln.
 
Zuletzt bearbeitet:
Painkiller schrieb:
Jep! Vorallem wenn AVM ins Ausland verkauft werden sollte……eine schöne Hintertür in deutsche und europäische Haushalte. Politisch ist das ebenfalls Zündstoff, wie damals bei KUKA auch schon. Hoffentlich besinnt sich AVM... Aber beim Thema Geld setzt es bei den meisten aus. :/
Zum Vergrößern anklicken....

Man denke an Parallelen aus dem Software Bereich: Kaspersky

Ich habe dank PCGH damals in den 2000er beginnend viele viele Jahre bis vor „Kurzem“ auf Kaspersky gesetzt. Dann wurde plötzlich die Ukraine angegriffen… und es hieß „aufpassend, damit hast du evtl ein Einfallstor im Einsatz, da die Software unter der Kontrolle des Kreml genommen werden kann…“

Klar, sowas kann einem im Laufe des Lebens mit jedem geliebten Produkt passieren. Aber gerade AVM ist sicherheitskritisch. So wie seinerzeit Kaspersky.
 
Das erklärt das Update vor ca. 1 Monat, obwohl der Support unserer Box bereits länger eingestellt ist.

Verwirrend, das je nach Box die Versionsnummer mit dem kritischen Fix anders lauten kann.
 
Painkiller schrieb:
Ich denke AVM hat sich zu sehr drauf verlassen, das die meisten Kunden die Auto-Updatefunktion der Fritz Box aktiviert haben...
Zum Vergrößern anklicken....
Ich habe die Auto-Updatefunktion immer aus, da mein Netzwerk schon mit anderen Updates Probleme hatte. Bevor ich ein Update tätige, muss ich das vorher testen. Aber das aktuelle Update passt schon.

Selbst fast 15 Jahre alte Geräte wie die Fritzbox 7390 wurden von dem Berliner Hardware-Produzenten mit Sicherheitspatches versehen.
Zum Vergrößern anklicken....
Ja, die diese Box hatte ich mir mal erstanden und kam auch zur Not zum Einsatz, bleibt auf Reserve. Hauptbox ist natürlich meine 7490 Fritte und die "schnurrt wie ein Kätzchen"...:love:
 
Ich sehe das ein bischen differenzierter. Natürlich ist man als erstes bemüht über Autoupdates schnellstmöglich so viel wie möglich zu erreichen. Schlecht kommuniziert halte ich für nicht richtig. Das gibg sogar als Meldung durchs Fernsehen. Letztlich ist doch aber immer der Benutzer selbst in der Pflicht, seine Hardware auf Updates zu prüfen. Es hat ja auch durchaus einen Grund, nicht jedem Hacker gleich die Schwachstelle offen zu legen sondern erstmal soviele Boxen wie möglich zu fixen.

Vergleicht das doch mal bitte mit anderen Routerherstellern am Markt. Da gibt es nicht einen, der ähnlich zuverlässig und regelmäßig Updates auch für ältere Geräte ausspielt. Gerade die Geräte, welche nicht der neuesten Generation entsprechen werden meist sehr stiefmütterlich behandelt, oft passiert da trotz bekannter Sicherheitslücken gar nichts mehr.

Gutes Beispiel z.B. auch Android-Handy's, auch wenn das eine andere Kategorie ist.
AVM ist für mich immer noch der vertrauenswürdigste Hersteller und ich setze seit vielen Jahren auf deren Hardware.
 
ShingoSan schrieb:
Das hab ich neulich bei Heise auch gelesen.
Leider kann man sich aufgrund der Aggressivität das Forum dort nicht antun.
Zum Vergrößern anklicken....
aggressiv ist imho nicht das richtige Wort...

Die/Das Heise Forum war schon immer speziell, das gehört da aber dazu bzw. ist halt so...

Trolle gehören einfach zu "guten Ton", aber es regt sich auch keiner drüber auf...

Einfach 80-90% der Beiträge ignorieren dann geht es ganz gut, bzw. einfach drüber lachen...
 
Rocketeer67 schrieb:
Schlecht kommuniziert halte ich für nicht richtig. Das gibg sogar als Meldung durchs Fernsehen.
Zum Vergrößern anklicken....
Was genau ging durchs Fernsehen?
Dass man auf jede Fritzbox ohne Passwort trotz Firewall per Remote zugreifen und das Netzwerk übernehmen kann?
Dass man sein NAS auch direkt ins Netz hängen kann, wenn man nicht sofort ein Update macht?

Wenn man ehrlich über seine Lücken berichtet, hat das gar nichts damit zu tun, sie Hackern offenzulegen, weil die über ihre Kanäle schon längst wissen, dass sie existiert und laut Heise wurde die Lücke schon aktiv genutzt als das Update raus kam. Der einzige, der nicht die ganze Wahrheit kannte, war der Kunde, der unter Umständen noch tagelang ein offenes Loch im Router hatte, bis das automatische Update bei ihm ausgerollt wurde.

Und wenn der in einer Firma sitzt und eine Risikoabschätzung zu jeder Lücke machen soll, kann er nicht einmal seine Arbeit machen. Natürlich sollte man als Firma keine Plastikrouter einsetzen, aber hierzulande wird man ja quasi dazu gezwungen, wenn man einen anständigen Support von seinem Internet Service Provider haben will. (OK - Zugegeben hat natürlich jede Firma, in der es mindestens einen Intelligenten gibt, eine Kaskade aus mindestens 2 verschiedenen Firewalls, sodass man hinter der Fritzbox noch nichts im Firmennetzwerk anstellen kann. Aber das Internet trennen kann man natürlich trotzdem und dann ist in der Firma quasi das Licht ausgeknipst.)
 
Rocketeer67 schrieb:
Ich sehe das ein bischen differenzierter. Natürlich ist man als erstes bemüht über Autoupdates schnellstmöglich so viel wie möglich zu erreichen. Schlecht kommuniziert halte ich für nicht richtig. Das gibg sogar als Meldung durchs Fernsehen. Letztlich ist doch aber immer der Benutzer selbst in der Pflicht, seine Hardware auf Updates zu prüfen. Es hat ja auch durchaus einen Grund, nicht jedem Hacker gleich die Schwachstelle offen zu legen sondern erstmal soviele Boxen wie möglich zu fixen.
Zum Vergrößern anklicken....
Du hast im Grunde schon Recht, nur darf man hier auch Alarmierungsgeschwindigkeit nicht vergessen. Ich denke viele die ebenfalls in der IT arbeiten, werden dir bestätigen können, das es oftmals an der Geschwindigkeit hapert, mit der Infos, Details und Aktualisierungen bekannt gegeben werden.

D.h. auf Kanälen wie Heise Security, Born City, Reddit etc. schlägt die News auf, aber bis die Mainstreammedien die oftmals extrem wichtigen Lücken auf ihren Seiten bringen, vergeht eine Menge an Zeit. Vom Fernsehen und Radio ganz zu schweigen. Und mit schlechter Kommunikation ist auch gemeint, das Details seitens der Hersteller oftmals gar nicht genannt werden. Gab es eine offizielle Info seitens AVM dazu, da auch User mit deaktivierten Fernzugriff betroffen sind? Nein... Im Umkehrschluss haben sich viele welche den Fernzugriff abgeschalten haben, in trügerischer Sicherheit vermutet. Ähnliches konnte man damals auch bei Mircrosoft und dem Cloud-Hack in diesem Sommer beobachten. Diese Art der Kommunikation ist in der heutigen Zeit einfach ungenügend.

Zurück zu AVM: Die News über die wir hier diskutieren ist drei Tage alt und nicht mal das BSI hat seine Meldung angepasst... Nuff said! :/

Rocketeer67 schrieb:
Gutes Beispiel z.B. auch Android-Handy's, auch wenn das eine andere Kategorie ist.
AVM ist für mich immer noch der vertrauenswürdigste Hersteller und ich setze seit vielen Jahren auf deren Hardware.
Zum Vergrößern anklicken....
Android ist genau so wichtig wie iOS, Windows oder Linux. Nur hast du bei Android eine etwas speziellere Situation. Die Smartphone-Hersteller veröffentlichen nicht an Tag X alle gleichzeitig ihre Updates und die Vielzahl der Geräte erschlägt einen regelrecht. Das ist meiner Meinung nach eines der größten Probleme von Android! Willst du die Updates so früh wie möglich, dann musst du zu Google Pixel Geräten greifen. Bei den anderen Herstellern ist´s ein Glücksspiel. Die einen veröffentlichen Sicherheitsupdates nur alle 2-4 Monate, andere wiederum nur halbjährlich. Das liegt einfach an der extremen Menge der Geräte. So einen Zirkus hast du zum Beispiel bei Apple oder Microsoft nicht. Microsoft hat seine Patchdays und Apple hat eine so überschaubare Anzahl an Geräten auf den Markt, das es sich sehr gut koordinieren lässt, wann die Updates genau erscheinen.

Könnte Google als Vater von Android, das ändern? Klar, ohne Probleme... Wollen Sie das? Zum Teil... Immerhin haben sie die Hersteller in die Pflicht genommen bis zum Jahr X Sicherheitsupdates bereitzustellen. Das war früher auch anders. Aber gut finde ich es dennoch nicht gelöst. Da geht noch mehr!

Ebenfalls wild ist es, das Geräte die EOL sind, in Fachmärkten etc. immer noch erworben werden können. Ist einer Arbeitskollegin von mir so ergangen. Bist du technisch versiert dann weißt du worauf du dich beim Kauf einlässt, oder hast ein bestimmtes Ziel (Custom-ROM). Aber als Laie oder 08/15-User stehst du im Regen....
 
Painkiller schrieb:
Du hast im Grunde schon Recht, nur darf man hier auch Alarmierungsgeschwindigkeit nicht vergessen. Ich denke viele die ebenfalls in der IT arbeiten, werden dir bestätigen können, das es oftmals an der Geschwindigkeit hapert, mit der Infos, Details und Aktualisierungen bekannt gegeben werden.

D.h. auf Kanälen wie Heise Security, Born City, Reddit etc. schlägt die News auf, aber bis die Mainstreammedien die oftmals extrem wichtigen Lücken auf ihren Seiten bringen, vergeht eine Menge an Zeit. Vom Fernsehen und Radio ganz zu schweigen. Und mit schlechter Kommunikation ist auch gemeint, das Details seitens der Hersteller oftmals gar nicht genannt werden. Gab es eine offizielle Info seitens AVM dazu, da auch User mit deaktivierten Fernzugriff betroffen sind? Nein... Im Umkehrschluss haben sich viele welche den Fernzugriff abgeschalten haben, in trügerischer Sicherheit vermutet. Ähnliches konnte man damals auch bei Mircrosoft und dem Cloud-Hack in diesem Sommer beobachten. Diese Art der Kommunikation ist in der heutigen Zeit einfach ungenügend.

Zurück zu AVM: Die News über die wir hier diskutieren ist drei Tage alt und nicht mal das BSI hat seine Meldung angepasst... Nuff said! :/


Android ist genau so wichtig wie iOS, Windows oder Linux. Nur hast du bei Android eine etwas speziellere Situation. Die Smartphone-Hersteller veröffentlichen nicht an Tag X alle gleichzeitig ihre Updates und die Vielzahl der Geräte erschlägt einen regelrecht. Das ist meiner Meinung nach eines der größten Probleme von Android! Willst du die Updates so früh wie möglich, dann musst du zu Google Pixel Geräten greifen. Bei den anderen Herstellern ist´s ein Glücksspiel. Die einen veröffentlichen Sicherheitsupdates nur alle 2-4 Monate, andere wiederum nur halbjährlich. Das liegt einfach an der extremen Menge der Geräte. So einen Zirkus hast du zum Beispiel bei Apple oder Microsoft nicht. Microsoft hat seine Patchdays und Apple hat eine so überschaubare Anzahl an Geräten auf den Markt, das es sich sehr gut koordinieren lässt, wann die Updates genau erscheinen.

Könnte Google als Vater von Android, das ändern? Klar, ohne Probleme... Wollen Sie das? Zum Teil... Immerhin haben sie die Hersteller in die Pflicht genommen bis zum Jahr X Sicherheitsupdates bereitzustellen. Das war früher auch anders. Aber gut finde ich es dennoch nicht gelöst. Da geht noch mehr!

Ebenfalls wild ist es, das Geräte die EOL sind, in Fachmärkten etc. immer noch erworben werden können. Ist einer Arbeitskollegin von mir so ergangen. Bist du technisch versiert dann weißt du worauf du dich beim Kauf einlässt, oder hast ein bestimmtes Ziel (Custom-ROM). Aber als Laie oder 08/15-User stehst du im Regen....
Zum Vergrößern anklicken....

Die Android-Gerätevielfalt ist kein wirklich gutes Argument. Das ist mit Windows & Co. genauso. Ich nutze ein S10+ für das es keine Updates mehr zu geben scheint. Wohlgemerkt Sicherheitsupdates. Stand 01.03.2023.

DAS ist Mist! Das Gerät ist von 2019. Ich habe fast 1000 € bezahlt un bekomme gerade mal 3 Jahre Unterstützung. Es ist aus meiner Sicht GEWOLLT, dass Handy's gehackt werden, damit Kunden ständig gezwungen sind, neue zu kaufen. Scheiß Politik / Firmenpolitik!
 
Rocketeer67 schrieb:
Die Android-Gerätevielfalt ist kein wirklich gutes Argument. Das ist mit Windows & Co. genauso.
Zum Vergrößern anklicken....
Es ist völlig korrekt das die Gerätevielfalt bei Windows auch sehr hoch ist. Nur wenn das Gerät nicht Microsofts Hardware-Vorstellungen entspricht, dann kannst du dort zum Beispiel gar nicht erst Windows 11 installieren. Und Microsoft sagt auch nicht nach 3 Jahren Windows 11-Nutzung: "Oh du hast ja nur einen PC mit einem Intel 8the Gen? Dann bekommst du ab jetzt keine Windows 11-Updates mehr!"

Erinnerst du dich noch an den TPM 2.0-Aufschrei der mit Einführung von Windows 11 durchs Netz ging? Du hast eine Intel-CPU der 6th oder 7th Gen? Vergiss es! Du weist genau woran du bist... Und Windows 10 hat dir das auch direkt ins Gesicht gedrückt:
1696506938969.png

Dieses "In your Face" hat viele genervt... Und zum Glück endet der Support von Windows 10 erst im Oktober 2025. Aber so eine Meldung bei Android und Co. würde ich auch begrüßen. Zumindest wenn die Geräte keine Sicherheitsupdates mehr bekommen. Wäre dem Endverbraucher gegenüber zumindest fairer als wie es jetzt läuft...

Rocketeer67 schrieb:
Ich nutze ein S10+ für das es keine Updates mehr zu geben scheint. Wohlgemerkt Sicherheitsupdates. Stand 01.03.2023.
Zum Vergrößern anklicken....
Hab die News im Juni gesehen... Ist sehr bitter. :( Nur das S10 Lite bekommt noch quartalsmäßige Sicherheitsupdates. Da bleibt dir wohl nur ein Custom-ROM...
 
Einloggen o. Registrieren zum Antworten.

Ähnliche Themen

PCGH-Redaktion
News Fritzbox: AVM geht davon aus, "dass das Huawei-Patent nicht verletzt wird"
Antworten
11
Aufrufe
906
TearApartNarratives
TearApartNarratives
PCGH-Redaktion
News AVM: Erste Fritzbox mit Wi-Fi 7 und Zigbee verfügbar
2
Antworten
34
Aufrufe
2K
Francober
Francober
PCGH-Redaktion
News Fritzbox: AVM droht Verkaufsverbot wegen Verstößen gegen WLAN-Patente von Huawei
Antworten
5
Aufrufe
1K
Pu244
P
PCGH-Redaktion
News Gigabyte: UEFI-Schwachstelle macht Hunderte aktueller Mainboards angreifbar
2
Antworten
34
Aufrufe
2K
PCGH_Torsten
PCGH_Torsten
PCGH-Redaktion
News Fritzbox: AVM sucht Käufer für das Unternehmen [Bericht]
2
Antworten
35
Aufrufe
2K
seahawk
seahawk
Oben Unten
Zurück