Der Easysupport ist etwas anderes.
Bei AVM scheint der MyFritz Zugang betroffen zu sein.

Easysupport ist nur der Name von TR-069 bei der Telekom.

Das Speedport 920 wurde meines Wissens von AVM hergestellt. Und beim Speedport 920 ist Standardmäßig "Easy Support" aktiviert - also der Remote-Zugriff.

Der "EasySupport" erfolgt per TR-069 Protokoll:

http://www.heise.de/netze/artikel/DSL-fernkonfiguriert-221789.html

und hat meines Wissens mit der Art der Fernkonfiguration in den FRITZ!Boxen gar nichts zu tun.

Gruß Ulrich

Hallo wonoscho,
 

Muss aus Sicherheitsgründen beim Speedport 920 "Easy Support" abgeschaltet werden?

Die Deutsche Telekom benutzt zur sicheren Fernwartung der Speedport Router das durch das Broadband Forum standardisierte Protokoll TR-069.

Um diese Funktionen verwenden zu können, ist eine mit Passwort gesicherte Anklopffunktion in den Speedport Routern erforderlich, die über das Internet -- bei aktuellen Speedport Routern auf Port 7547/tcp -- aktivierbar sein muss. Wird diese Funktion genutzt, dann kontaktiert der Speedport Router ausschließlich das Remote Device Management System der Deutschen Telekom. Ein direkter Zugriff auf Daten oder andere Funktionen des Speedport Routers über die Anklopffunktion ist nicht möglich.
 
Dies ist im TR-069 Standard zudem auch nicht vorgesehen. Aufgrund des Passwort-Schutzes sowie weiterer Maßnahmen ist sicher gestellt, dass die Anklopffunktion nur vom Remote Device Management System der Deutschen Telekom aus aktiviert werden kann.

In der Kundenkommunikation bezeichnet die Deutsche Telekom ihr Remote Device Management als "Easy Support". Alle im Rahmen von Easy Support implementierten Funktionen, sowie die Verarbeitung der dafür notwendigen Daten werden vom Datenschutz und der Produktsicherheit der Deutschen Telekom streng geprüft und unterliegen den deutschen gesetzlichen Vorschriften. Eine Weiterleitung von Informationen an andere Firmen oder Organisationen findet nicht statt.

Läuft TR-069 nicht über HTTP bzw. HTTPS und nutzt damit möglicherweise auch zumindest teilweise den bei der Fritzbox problematischen TCP-Port 443?

Ich denke, auch der Speedport ist prinzipiell angreifbar - wenn auch möglicherweise nicht über denselben Mechanismus/dasselbe Szenario wie es bei der Fritzbox war. Zudem bietet die Fritzbox mehr Funktionalität als der Speedport - die sich dann wenn jemand erst einmal eingebrochen ist natürlich auch potentiell missbrauchen lässt.

Läuft TR-069 nicht über HTTP bzw. HTTPS und nutzt damit möglicherweise auch zumindest teilweise den bei der Fritzbox problematischen TCP-Port 443?

Nein, der Connection Request vom Provider in Richtung Speedport (das "Anklopfen") läuft über eine unverschlüsselte HTTP-Verbindung, die sofort wieder beendet wird.

Erhält der Speedport solch einen gültigen Connection Request, wird eine Verbindung mit einer fest hinterlegten Adresse beim Provider (dem Konfigurationsserver) aufgebaut. Nur mit dieser fest hinterlegten Adresse "spricht" der Speedport über definierte Kommandos nach fest vorgegebener Reihenfolge.

Sprich (stark vereinfacht ausgedrückt): Durch Attacken auf den TR-069 Mechanismus des Speedports könnte man den Speedport höchstens dazu bringen, sich beim Konfigurationsserver beim Provider zu melden.

Eine Fernsteuerung der Box direkt über den TR-069 Port ist - anders als bei der Fritz!Box Fernwartung - nicht möglich. Das Einleiten von kostenpflichtigen Telefonaten wäre somit keinesfalls möglich.

Hinweis: In wie fern die Problematik bei modifizierten Speedport-Routern, die mit AVM-Software betrieben werden, aussieht weiß ich jedoch nicht. Mein Speedport W920V ist original, daher mache ich mir keine Sorgen.

Wolfgang

Würde das auch so für die W900V gelten?

Seit Tagen macht das Thema der gehackten Fritzboxen in den Medien Schlagzeilen. Von AVM werden derzeit Firmware-Updates verteilt. Als Interims-Lösung bis zum Update wird von AVM empfohlen, den Remote-Zugriff der AVM-Boxen zu deaktivieren.

Laut Heise reicht es inzwischen nicht mehr, den Fernzugang zu sperren, sondern die generelle Existenz ist gefährlich:

http://www.heise.de/newsticker/meldung/Jetzt-Fritzbox-aktualisieren-Hack-gegen-AVM-Router-auch-ohne-Fernzugang-2115745.html

Da AVM ein Sicherheitsupdate für die Fritzbox 7570 anbietet, steht die Frage nach der Verwundbarkeit des baugleichen Speedport W920V im Raum:

http://www.heise.de/netze/meldung/Router-Hack-Was-Fritzbox-Besitzer-jetzt-machen-muessen-2110186.html

Die Telekom vermietet diese Geräte an Kunden für Geld, weshalb sie auch weiterhin für deren Sicherheit verantwortlich ist. Eine Abkündigung des Supports seitens der Telekom hat es bisher nicht gegeben, insofern trägt die Telekom die Verantwortung bei Missbrauch. Kunden ist es nicht möglich, selbst Updates von AVM einzuspielen.

Nun, liebe Telekom, es ist an der Zeit, sich dazu zu äußern.
Oder besser gesagt: zu handeln.

Endgeräte-Servicegarantie:
- bla bla bla
- bla bla bla
- Regelmäßige Software-Updates
- bla bla bla
- bla bla bla

Nicht nur immer jeden Monat Kohle kassieren, sondern auch mal wesentliche Vertragsbestandteile erfüllen.

Ich bin dann mal gespannt ob es ein Update für den 701V gibt.

Also Heise hat den Hack ja mit einem Spezialisten "Reverse Engineert".

Die gleiche Prüfung sollte mit einem Speedport W900/701/920/501 durchgeführt werden können sobald Details bekannt sind.

Hallo,

ich benutze einen Speedport w900V und möchte nur vom Telekom-Moderator wissen, ob es eine Security-Loch wie bei den FritzBoxen gibt und wenn ja, ob es dafür ein Firmwareupdate gibt. Leider werden die Firmwarestände für die Speedport´s nicht wirklich von Telekom gepflegt, was an sich schon eine Securitythema ist.

Oder gibt es eine Telekom-Empfehlung welches aktuelle FritzBox-Update (welches Modell?)ich auf den w900V installieren kann.

Gruß Eckhard

Liebes Service-Team,

das würde mich auch interessieren. Sind unsere Router sicher, oder ist demnächst ein Update geplant.

Hallo in die Runde,

ich kann Ihre Sorgen gut verstehen.

Ich werde mich erkundigen, ob Speedports, die von AVM hergestellt wurden, möglicherweise auch Sicherheitslücken aufweisen.

Sobald ich etwas weiß, melde ich mich hier...

Bis dahin
Gruß Matthias

Es sieht mir so aus, als ob die Telekom da mauert - oder dass die Firmware maßgeblich in Eigenverantwortung der Telekom mitgestaltet wurde. Für andere ISPs (o2, Alice, Ewetel, Netcologne, Kabelnetzbetreiber) darf AVM offenbar die Information herausgeben, inwiefern die von AVM gefertigten Boxen betroffen sind bzw. wie da verfahren wird. Nur (?) für die von AVM gefertigten Speedports der Telekom wird nichts gesagt (W723V, W724V und W924V wurden nicht mehr von AVM gefertigt). Bei teltarif liest sich das so
"So antwortete AVM nicht auf unsere Fragen, ob die von der Telekom ausgelieferten Speedport-Router auf AVM-Basis anfällig sind. Dies falle allein in die Zuständigkeit der Telekom, erklärte Bastert die Zurückhaltung."

Die detaillierte Übersicht über die diversen Boxen
http://www.avm.de/de/Sicherheit/liste_update.html

Hallo in die Runde,

inzwischen wurden präventiv Softwareupdates bereitgestellt. Die Softwareupdates enthalten Sicherheitsverbesserungen zur Beseitigung eines möglichen Angriffsszenarios.

Die Deutsche Telekom empfiehlt allen Nutzern der betroffenen Speedport Modelle das Softwareupdate umgehend einzuspielen. Eine Beschreibung zur Durchführung findet sich unter nachfolgendem Link:

http://hilfe.telekom.de/dlp/eki/downloads/Speedport/util_Firmware_Update_Speedport_allgemein_05.2011.pdf

Das Softwareupdate wird automatisch für alle Kunden eingespielt, die am EasySupport teilnehmen. Alternativ können Sie das Update auch über die Downloadseiten des jeweiligen Speedports unter...

http://hilfe.telekom.de/hsp/cms/content/HSP/de/3388/0/Downloads-und-Handbuecher

...herunterladen und gemäß der oben genannten Beschreibung installieren.

Updates für folgende Modelle sind bereits vorhanden:

W920V auf 65.04.79
W503V auf 66.04.79
W721V auf 64.04.75
W722V auf 80.04.79


Gruß Matthias

Ist mein W701V nicht von der Lücke betroffen - ist ja auch ein von AVM gefertigtes Gerät?

Hallo zusammen,

jetzt werd ich auch unruhig:

wie sieht es mit dem W 921 V aus?

Danke für Rückmeldung und Gruß

manwater

Wie sieht es mit dem Speedport 501V aus?
Das sollte auch ein AVM-Modell sein.

wie sieht es mit dem W 921 V aus?

Der SP W 921V ist von Arcadyan und damit von dieser Sicherheitslücke nicht betroffen.

Wer welche Speedport entwickelt hat und produziert(e) kann hier:

https://de.wikipedia.org/w/index.php?title=Speedport&stable=0&redirect=no#Modelle

nachgelesen werden.

Gruß Ulrich

Danke an UlrichZ

Gruß

manwater

Danke für den Hinweis Ulrich!

Weitere Telekom Router von AVM sind...

Speedport W 900V
Speedport W 501V
Speedport W 701V
Sinus W 500V
Eumex 300 IP

Ich kläre gerade, ob diese Router auch betroffen sind und ob Updates erforderlich sind.

Bis dahin...
Gruß Matthias

Vielen Dank für das schnelle Firmwareupdate für meinen "920". Daumen hoch!

Ist das Update (in meinem Fall für ein W 722V ) auch dann erforderlich, wenn das Gerät ausschließlich als Modem genutzt wird (Einwahl erfolgt ebenfalls über den hinter dem Speedport hängenden Router)?

Gruß cantor

Da nicht öffentlich breitgetreten wurde, wie der Angriff funktionierte bzw. wie ein Angriff allein schon über das Ansurfen einer bösartigen Internetseite möglich ist wäre jede Aussage, dass Du bei der alten Firmware bleiben kannst unseriös.

Ich vermute zwar, dass Du in Deiner Konfiguration wahrscheinlich auf dem alten Stand bleiben könntest - aber ich empfehle Dir, das Upgrade durchzuführen. Denn ich sehe ein gewisses minimales aber doch vorhandenes Restrisiko. Und sollte da zusätzlicher Code eingeschleust werden, dann weißt Du halt nicht, was der alles drauf hat bzw. haben kann.

Was wird mit dem W701V? Zwar habe ich derzeit noch einen normalen Telefonanschluss, will aber mittelfristig IP-Telefonie anschaffen.

Der IE 11 will gar nicht auf den Speedport.

Es besteht ein Problem mit dem Sicherheitszertifikat der Website.
Das Sicherheitszertifikat dieser Website ist entweder abgelaufen oder noch nicht gültig.
Die Sicherheitszertifikatprobleme deuten eventuell auf den Versuch hin, Sie auszutricksen bzw. Daten die Sie an den Server gesendet haben abzufangen.
Es wird empfohlen, dass Sie die Webseite schließen und nicht zu dieser Website wechseln.
Klicken Sie hier, um diese Webseite zu schließen.
Laden dieser Website fortsetzen (nicht empfohlen).
Weitere Informationen.

Opera hat es dann bei zweiten Startversuch "zugelassen" und konnte aktualisieren für den W920V auf 65.04.79.

Hallo in die Runde,

hier die versprochene Info:

Die Speedportmodelle Speedport W 701, W 900V, W 501V, Sinus W 500V und Eumex 300IP sind von dem Problem nicht betroffen.

Gruß Matthias

- gelöscht -

Wieso soll der W 900V nicht betroffen sein? Grundlage ist doch der AVM 7170 für den ein Update bereitgestellt wurde.
Gruß

Wieso soll der W 900V nicht betroffen sein? Grundlage ist doch der AVM 7170 für den ein Update bereitgestellt wurde.

Eine sehr ähnliche oder identische Hardware bedeutet nicht zwangsläufig eine ähnliche oder identische Software.

Gruß Ulrich