"Fritzbox Hack": Ist der Speedport 920v auch betroffen?

wonoscho · ‎09.02.2014

Hallo allerseits!

Seit Tagen macht das Thema der gehackten Fritzboxen in den Medien Schlagzeilen.
Von AVM werden derzeit Firmware-Updates verteilt.

Als Interims-Lösung bis zum Update wird von AVM empfohlen,
den Remote-Zugriff der AVM-Boxen zu deaktivieren.

Das Speedport 920 wurde meines Wissens von AVM hergestellt.
Und beim Speedport 920 ist Standardmäßig "Easy Support"
aktiviert - also der Remote-Zugriff.

Frage:
Ist das Speedport 920 auch anfällig für den "AVM-Hack"?

Mit einem Update für die Speedports 920
darf wohl nicht mehr gerechnet rechnen.

Muss aus Sicherheitsgründen beim Speedport 920
"Easy Support" abgeschaltet werden?

mfg Wolfgang Nohl

CyberSW · ‎09.02.2014

Der Easysupport ist etwas anderes.
Bei AVM scheint der MyFritz Zugang betroffen zu sein.

Easysupport ist nur der Name von TR-069 bei der Telekom.

UlrichZ · ‎09.02.2014

Das Speedport 920 wurde meines Wissens von AVM hergestellt.
Und beim Speedport 920 ist Standardmäßig "Easy Support"
aktiviert - also der Remote-Zugriff.

Der "EasySupport" erfolgt per TR-069 Protokoll:

http://www.heise.de/netze/artikel/DSL-fernkonfiguriert-221789.html

und hat meines Wissens mit der Art der Fernkonfiguration in den FRITZ!Boxen gar nichts zu tun.

Gruß Ulrich

Detlev K. · ‎14.02.2014

Hallo wonoscho,

Muss aus Sicherheitsgründen beim Speedport 920
"Easy Support" abgeschaltet werden?

Die Deutsche Telekom benutzt zur sicheren Fernwartung der Speedport Router das durch das Broadband Forum standardisierte Protokoll TR-069.

Um diese Funktionen verwenden zu können, ist eine mit Passwort gesicherte Anklopffunktion in den Speedport Routern erforderlich, die über das Internet -- bei aktuellen Speedport Routern auf Port 7547/tcp -- aktivierbar sein muss. Wird diese Funktion genutzt, dann kontaktiert der Speedport Router ausschließlich das Remote Device Management System der Deutschen Telekom. Ein direkter Zugriff auf Daten oder andere Funktionen des Speedport Routers über die Anklopffunktion ist nicht möglich.

Dies ist im TR-069 Standard zudem auch nicht vorgesehen. Aufgrund des Passwort-Schutzes sowie weiterer Maßnahmen ist sicher gestellt, dass die Anklopffunktion nur vom Remote Device Management System der Deutschen Telekom aus aktiviert werden kann.

In der Kundenkommunikation bezeichnet die Deutsche Telekom ihr Remote Device Management als "Easy Support". Alle im Rahmen von Easy Support implementierten Funktionen, sowie die Verarbeitung der dafür notwendigen Daten werden vom Datenschutz und der Produktsicherheit der Deutschen Telekom streng geprüft und unterliegen den deutschen gesetzlichen Vorschriften. Eine Weiterleitung von Informationen an andere Firmen oder Organisationen findet nicht statt.

muc80337_2 · ‎14.02.2014

Läuft TR-069 nicht über HTTP bzw. HTTPS und nutzt damit möglicherweise auch zumindest teilweise den bei der Fritzbox problematischen TCP-Port 443?

Ich denke, auch der Speedport ist prinzipiell angreifbar - wenn auch möglicherweise nicht über denselben Mechanismus/dasselbe Szenario wie es bei der Fritzbox war. Zudem bietet die Fritzbox mehr Funktionalität als der Speedport - die sich dann wenn jemand erst einmal eingebrochen ist natürlich auch potentiell missbrauchen lässt.

Wolfgang R_2 · ‎14.02.2014

Läuft TR-069 nicht über HTTP bzw. HTTPS und nutzt damit möglicherweise auch zumindest teilweise den bei der Fritzbox problematischen TCP-Port 443?

Nein, der Connection Request vom Provider in Richtung Speedport (das "Anklopfen") läuft über eine unverschlüsselte HTTP-Verbindung, die sofort wieder beendet wird.

Erhält der Speedport solch einen gültigen Connection Request, wird eine Verbindung mit einer fest hinterlegten Adresse beim Provider (dem Konfigurationsserver) aufgebaut. Nur mit dieser fest hinterlegten Adresse "spricht" der Speedport über definierte Kommandos nach fest vorgegebener Reihenfolge.

Sprich (stark vereinfacht ausgedrückt): Durch Attacken auf den TR-069 Mechanismus des Speedports könnte man den Speedport höchstens dazu bringen, sich beim Konfigurationsserver beim Provider zu melden.

Eine Fernsteuerung der Box direkt über den TR-069 Port ist - anders als bei der Fritz!Box Fernwartung - nicht möglich. Das Einleiten von kostenpflichtigen Telefonaten wäre somit keinesfalls möglich.

Hinweis: In wie fern die Problematik bei modifizierten Speedport-Routern, die mit AVM-Software betrieben werden, aussieht weiß ich jedoch nicht. Mein Speedport W920V ist original, daher mache ich mir keine Sorgen.

Wolfgang

white_chapel · ‎17.02.2014

Würde das auch so für die W900V gelten?

kirchwitz · ‎17.02.2014

Seit Tagen macht das Thema der gehackten Fritzboxen in den Medien Schlagzeilen.
Von AVM werden derzeit Firmware-Updates verteilt.

Als Interims-Lösung bis zum Update wird von AVM empfohlen,
den Remote-Zugriff der AVM-Boxen zu deaktivieren.

Laut Heise reicht es inzwischen nicht mehr, den Fernzugang zu sperren, sondern die generelle Existenz ist gefährlich:

http://www.heise.de/newsticker/meldung/Jetzt-Fritzbox-aktualisieren-Hack-gegen-AVM-Router-auch-ohne-...

Da AVM ein Sicherheitsupdate für die Fritzbox 7570 anbietet, steht die Frage nach der Verwundbarkeit des baugleichen Speedport W920V im Raum:

http://www.heise.de/netze/meldung/Router-Hack-Was-Fritzbox-Besitzer-jetzt-machen-muessen-2110186.htm...

Die Telekom vermietet diese Geräte an Kunden für Geld, weshalb sie auch weiterhin für deren Sicherheit verantwortlich ist. Eine Abkündigung des Supports seitens der Telekom hat es bisher nicht gegeben, insofern trägt die Telekom die Verantwortung bei Missbrauch. Kunden ist es nicht möglich, selbst Updates von AVM einzuspielen.

spi · ‎17.02.2014

Nun, liebe Telekom, es ist an der Zeit, sich dazu zu äußern.
Oder besser gesagt: zu handeln.

Endgeräte-Servicegarantie:
- bla bla bla
- bla bla bla
- Regelmäßige Software-Updates
- bla bla bla
- bla bla bla

Nicht nur immer jeden Monat Kohle kassieren, sondern auch mal wesentliche Vertragsbestandteile erfüllen.

Octavius_1 · ‎17.02.2014

Ich bin dann mal gespannt ob es ein Update für den 701V gibt.

genlog · ‎18.02.2014

Also Heise hat den Hack ja mit einem Spezialisten "Reverse Engineert".

Die gleiche Prüfung sollte mit einem Speedport W900/701/920/501 durchgeführt werden können sobald Details bekannt sind.

edoering · ‎18.02.2014

Hallo,

ich benutze einen Speedport w900V und möchte nur vom Telekom-Moderator wissen, ob es eine Security-Loch wie bei den FritzBoxen gibt und wenn ja, ob es dafür ein Firmwareupdate gibt. Leider werden die Firmwarestände für die Speedport´s nicht wirklich von Telekom gepflegt, was an sich schon eine Securitythema ist.

Oder gibt es eine Telekom-Empfehlung welches aktuelle FritzBox-Update (welches Modell?)ich auf den w900V installieren kann.

Gruß Eckhard

js.dh · ‎18.02.2014

Liebes Service-Team,

das würde mich auch interessieren. Sind unsere Router sicher, oder ist demnächst ein Update geplant.

Matthias Bo. · ‎18.02.2014

Hallo in die Runde,

ich kann Ihre Sorgen gut verstehen.

Ich werde mich erkundigen, ob Speedports, die von AVM hergestellt wurden, möglicherweise auch Sicherheitslücken aufweisen.

Sobald ich etwas weiß, melde ich mich hier...

Bis dahin
Gruß Matthias

muc80337_2 · ‎19.02.2014

Es sieht mir so aus, als ob die Telekom da mauert - oder dass die Firmware maßgeblich in Eigenverantwortung der Telekom mitgestaltet wurde. Für andere ISPs (o2, Alice, Ewetel, Netcologne, Kabelnetzbetreiber) darf AVM offenbar die Information herausgeben, inwiefern die von AVM gefertigten Boxen betroffen sind bzw. wie da verfahren wird. Nur (?) für die von AVM gefertigten Speedports der Telekom wird nichts gesagt (W723V, W724V und W924V wurden nicht mehr von AVM gefertigt). Bei teltarif liest sich das so
"So antwortete AVM nicht auf unsere Fragen, ob die von der Telekom ausgelieferten Speedport-Router auf AVM-Basis anfällig sind. Dies falle allein in die Zuständigkeit der Telekom, erklärte Bastert die Zurückhaltung."

Die detaillierte Übersicht über die diversen Boxen
http://www.avm.de/de/Sicherheit/liste_update.html

Matthias Bo. · ‎19.02.2014

Hallo in die Runde,

inzwischen wurden präventiv Softwareupdates bereitgestellt. Die Softwareupdates enthalten Sicherheitsverbesserungen zur Beseitigung eines möglichen Angriffsszenarios.

Die Deutsche Telekom empfiehlt allen Nutzern der betroffenen Speedport Modelle das Softwareupdate umgehend einzuspielen. Eine Beschreibung zur Durchführung findet sich unter nachfolgendem Link:

http://hilfe.telekom.de/dlp/eki/downloads/Speedport/util_Firmware_Update_Speedport_allgemein_05.2011...

Das Softwareupdate wird automatisch für alle Kunden eingespielt, die am EasySupport teilnehmen. Alternativ können Sie das Update auch über die Downloadseiten des jeweiligen Speedports unter...

http://hilfe.telekom.de/hsp/cms/content/HSP/de/3388/0/Downloads-und-Handbuecher

...herunterladen und gemäß der oben genannten Beschreibung installieren.

Updates für folgende Modelle sind bereits vorhanden:

W920V auf 65.04.79
W503V auf 66.04.79
W721V auf 64.04.75
W722V auf 80.04.79

Gruß Matthias

MartinP3 · ‎19.02.2014

Ist mein W701V nicht von der Lücke betroffen - ist ja auch ein von AVM gefertigtes Gerät?

manwater · ‎19.02.2014

Hallo zusammen,

jetzt werd ich auch unruhig:

wie sieht es mit dem W 921 V aus?

Danke für Rückmeldung und Gruß

manwater

cunhell · ‎19.02.2014

Wie sieht es mit dem Speedport 501V aus?
Das sollte auch ein AVM-Modell sein.

UlrichZ · ‎19.02.2014

wie sieht es mit dem W 921 V aus?

Der SP W 921V ist von Arcadyan und damit von dieser Sicherheitslücke nicht betroffen.

Wer welche Speedport entwickelt hat und produziert(e) kann hier:

https://de.wikipedia.org/w/index.php?title=Speedport&stable=0&redirect=no#Modelle

nachgelesen werden.

Gruß Ulrich

manwater · ‎19.02.2014

Danke an UlrichZ

Gruß

manwater

Matthias Bo. · ‎19.02.2014

Danke für den Hinweis Ulrich!

Weitere Telekom Router von AVM sind...

Speedport W 900V
Speedport W 501V
Speedport W 701V
Sinus W 500V
Eumex 300 IP

Ich kläre gerade, ob diese Router auch betroffen sind und ob Updates erforderlich sind.

Bis dahin...
Gruß Matthias

blackdonalds · ‎19.02.2014

Vielen Dank für das schnelle Firmwareupdate für meinen "920". Daumen hoch!

cantor01 · ‎20.02.2014

Ist das Update (in meinem Fall für ein W 722V ) auch dann erforderlich, wenn das Gerät ausschließlich als Modem genutzt wird (Einwahl erfolgt ebenfalls über den hinter dem Speedport hängenden Router)?

Gruß cantor

muc80337_2 · ‎20.02.2014

Da nicht öffentlich breitgetreten wurde, wie der Angriff funktionierte bzw. wie ein Angriff allein schon über das Ansurfen einer bösartigen Internetseite möglich ist wäre jede Aussage, dass Du bei der alten Firmware bleiben kannst unseriös.

Ich vermute zwar, dass Du in Deiner Konfiguration wahrscheinlich auf dem alten Stand bleiben könntest - aber ich empfehle Dir, das Upgrade durchzuführen. Denn ich sehe ein gewisses minimales aber doch vorhandenes Restrisiko. Und sollte da zusätzlicher Code eingeschleust werden, dann weißt Du halt nicht, was der alles drauf hat bzw. haben kann.

"Fritzbox Hack": Ist der Speedport 920v auch betroffen?

Social Media