Meiner Kenntnis nach gab es nur ein Update um das GF Modem 2 am FTTH1.7 lauffähig zu bekommen, das dürfte jetzt nicht wirklich (sicherheits) relevant sein und mittlerweile obsolete sein. Vermutlich der Grund warum das bei Glasfaser Nordwest nicht aufgespielt wird.

Guten Tag @0x00234f8.

Unsere separaten Glasfaser-Modems erhalten die Firmware zentral vom OLT (Optical Network Termination).

Leider ist somit ein manuelles Update nicht möglich.

Ich wünsche dir einen angenehmen Start in die Woche.

Beste Grüße 

Martin Bo.

@Verklopper 

Könnte auch sein, dass die Updates bei der Telekom aufgrund der GGS-Migration nicht mehr durchgeführt werden, weil im GGS-System nicht mehr notwendig. Meine Versuche fanden noch zu FTTH 1.7 Zeiten statt (und die FW -Updates sollten ja angeblich Probleme i.V.m. FTTH 1.7 lösen, s.h. Beitrag von @viper.de).

Lösung:

Gibt es nicht, da wohl bisher auch kein Problem bekannt ist (also ein FW -Update nicht notwendig ist).

Man kann wohl mittlerweile vom GGS ausgehen. FTTH 1.7 gibt es m.W.n. (wenn überhaupt) mittlerweile vielleicht noch in 1-3 Gebieten. Und ggf. ist da die Migration auch schon durch…

Hallo alle zusammen,

die Frage wurde von der Telekom beantwortet, damit ist das Thema prinzipiell erledigt. Ob man sich mit der Antwort zufrieden geben möchte, muss jeder für sich selbst entscheiden. Ich möchte zum Abschluss noch ein paar Gedanken und Erkenntnisse bekannt geben:

Die Community hier finde ich zwar nicht toxisch, aber auch nicht besonders hilfreich. Ich hatte zwischenzeitlich mehrfach das Gefühl, dass Leute hier Freude daran haben mein Anliegen in Frage zu stellen oder zu torpedieren, statt konstruktiv auf die eigentliche Frage einzugehen. Updates sind gar nicht nötig, blabla. Die Telekom weiß schon was sie tut, blabla. Es gibt einfach zu viele Menschen die ihren Senf dazu geben müssen, obwohl sie nichts sinnvolles beizutragen haben. In solchen Situationen wäre es besser zu schweigen. Ganz abgesehen von diesem wahnwitzigen Gedränge, doch mein Profil auszufüllen, weil sonst angeblich keine Kontaktaufnahme möglich sei. Völlig absurd. Und nun ist es doch so gekommen wie ich es ursprünglich erwartet habe: das Telekom Hilft Team antwortet einfach in diesem Thread. So eine Überraschung!

Jetzt zurück zum eigentlichen Thema:

Ich habe das Telekom Glasfaser Modem 2 (Sercomm FG1000B) zerlegt und mir die Software angeschaut. Die folgenden Beobachtungen betreffen die erste Firmware Version (090144.1.0.001). Der verwendete Linux Kernel, die OpenSSH Version und die Busybox Shell sind komplett veraltet und enthalten kritische Sicherheitslücken:

# uname -a
Linux (none) 4.1.51 #2 SMP PREEMPT Mon Sep 21 09:24:16 CST 2020 aarch64 GNU/Linux
(released Wed, 28 Mar 2018)
https://www.cvedetails.com/vulnerability-list/vendor_id-33/product_id-47/version_id-1186066/Linux-Linux-Kernel-4.1.51.html?page=1&order=3

# sshd -V
OpenSSH_6.6p1, OpenSSL 1.0.2k 26 Jan 2017
https://www.cvedetails.com/vulnerability-list/vendor_id-97/product_id-585/version_id-547553/Openbsd-Openssh-6.6.html?page=1&order=3

# busybox
BusyBox v1.26.2 (2020-09-21 10:00:55 CST) multi-call binary.

https://www.cvedetails.com/vulnerability-list/vendor_id-4282/product_id-7452/version_id-852104/Busybox-Busybox-1.26.2.html?page=1&order=3

Diese Lücken werden spätestens 2027 aufgrund des von der EU beschlossenen Cyber Resilience Act (CRA) gepatcht werden müssen. Bis dahin kann die Telekom bzw. Sercomm sie ignorieren.

Das ist alles andere als schön. Allerdings ist der SSH Dienst von intern (also LAN seitig) nicht zu erreichen. Ich nehme an, dass nur die Telekom die Möglichkeit hat, über die GPON Schnittstelle darauf zuzugreifen. Hinweis: das bedeutet aber nicht, dass jedes Modem aus dem Internet per SSH erreichbar ist. Es gibt für solche Zwecke üblicherweise ein isoliertes Management VLAN. Das passt auch zu einem anderen Thread hier, wo bei einem Telekomkunden im Rahmen einer Störungsbehebung die LAN seitige Geschwindigkeit durch die Telekom von 2,5 auf 1 Gbit/s reduziert wurde - von remote aus, wohl gemerkt. Auch die Tatsache, dass das Webinterface die aktuelle Uhrzeit anzeigt deutet darauf hin, dass es ein Management VLAN mit NTP Server gibt. Sollte also jemals dieses Management Netz der Telekom von Angreifern kompromitiert werden, könnten Angreifer theoretisch auch die Glasfaser Modems der Kunden erreichen (und potentiell angreifen). Alternativ wäre es denkbar, dass es kein Management VLAN gibt, sondern Uhrzeit-Sync und Config Änderung per OMCI erfolgen. Genau kann ich das nicht sagen. Das wahrscheinlichste ist jedoch, dass es ein Management VLAN gibt, der SSH Daemon jedoch nur bei Bedarf per OMCI gestartet wird. Oder sagen wir: das wäre zumindest das Vernünftigste.

Interessiert hat mich aber mehr, was von intern möglich ist. Und da gibt es nur einen Dienst der erreichbar ist: der integrierte Webserver, welcher auf der IP Adresse 192.168.100.1 lauscht. Es handelt sich dabei um den mini_httpd Webserver: https://acme.com/software/mini_httpd/

Natürlich wollte ich wissen in welcher Version der Webserver vorliegt, um nach Vulnerabilitys suchen zu können. Und da ist etwas spannendes passiert. Laut Manpage sollte der Webserver seine Version mit dem Befehl # mini_httpd -V ausgeben. Stattdessen wurde nur eine leere Zeile ausgespuckt. Ich gehe davon aus, dass Sercomm hier bewusst den Versionsnummer-String vor dem Kompilieren entfernt hat. Herauszufinden um welche Version es sich nun tatsächlich handelt, wird dadurch ziemlich aufwändig (Dekompilieren der binary und Analyse). Man möchte offenbar verschleiern, welche Version genutzt wird. Das ist wieder ein Fall von Security by Obscurity. Ich habe aber keine Lust weitere Zeit hier rein zu stecken. Mir reichen die Infos die ich rausgefunden habe, um mir ein Bild zu machen.

Also zusammengefasst:

Die Hardware ist ziemlich gut und leistungsfähig. Auch den 2,5 Gbit/s LAN Port finde ich gut, weil man erst dadurch tatsächlich auf 1 Gbit/s netto kommen kann. Aber ein Stück Hardware wo erstens die Telekom die Hand drüber hält (Remote Zugriff möglich) und man zweitens keine Updates bekommt, ist echt bescheuert. Insbesondere, da es nachweislich Sicherheitslücken gibt. Ich sehe keinen plausiblen Grund, warum man das Firmware Update nicht als Datei-Download zur Verfügung stellen sollte. Andere Hersteller tun dies ebenfalls und es ist zweifellos Best Practice, Updates zu installieren. Darüber brauchen wir gar nicht diskutieren. Das irrsinnige ist, dass es nachweislich Updates gibt (neuere Versionen existieren, etwa 090144.1.0.004 und 090144.1.0.006). Außerdem bietet das Webinterface auch die Möglichkeit, Updates manuell einzuspielen. Vielleicht ist der Deutschen Telekom einfach egal, was außerhalb ihres Netzes passiert. Meines Erachtens entzieht die Telekom sich damit aber ihrer Verantwortung, da das Glasfaser Modem 2 auch an Kunden außerhalb ihres Netzes verkauft wird.

Meine sonstigen Erkenntnisse zu diesem Modem, abseits des Firmware Themas:

Die gleiche Hardware (Sercomm FG1000B) gibt es auch von anderen deutschen Providern (1&1, Vodafone und o2) mit jeweils eigenem Branding zu kaufen, immer unter dem Namen "Glasfaser Modem". Aufgefallen ist mir, dass zumindest die 1&1 Variante keine modifizierte Weboberfläche verwendet wie die Telekom-Variante, sondern die stock WebUI von Sercomm (ich habe mir interessehalber eine bei Kleinanzeigen besorgt, daher weiß ich das).

Aufgefallen ist mir auch, dass der Linux Kernel mittlerweile native Unterstützung für den enthaltenen Broadcom BCM68360 Chipsatz erhalten hat:

https://lore.kernel.org/all/20220817235435.3925-1-william.zhang@broadcom.com/

Es wäre also gut möglich, dass in Zukunft irgendwann OpenWrt Support existiert. Allerdings hat OpenWrt zur Zeit noch keine integrierte GPON Unterstützung, wenn ich nicht irre. Vielleicht bald irgendwann.

Für mich ist das Thema hiermit erledigt. Firmwareupdates gibt es nicht, es sei denn man ist Telekom Kunde und hält sich im Netz der Deutschen Telekom auf. Nicht einmal im Semi-Telekom Netz (Glasfaser Nordwest) gibt es die Updates.

Ich muss der Korrektheit halber noch eine Ergänzung zu meinem vorherigen Beitrag nachreichen. Es kann sein, dass zumindest einige der bekannten Sicherheitslücken beim Glasfaser Modem 2 nicht existieren. Hintergrund: der Linux Kernel hat grundsätzlich Unterstützung für tausende Dinge, die beim Glasfaser Modem 2 nicht benötigt werden. Beispielsweise Hardwareunterstützung für WLAN, USB, Drucker, Grafiktreiber und so weiter. Aber auch andere Dinge die nichts mit Hardware zutun haben. Wenn Sercomm einen guten Job gemacht hat, haben sie nicht benötigte Kernelmodule/Treiber vor dem Kompilieren entfernt. Dementsprechend könnten auch Komponenten entfernt worden sein, die Sicherheitslücken aufweisen. Genau weiß man das aber erst nach einem Audit. Die Sicherheitslücken in anderen Softwarekomponenten wie OpenSSH und Busybox sind aber sicherlich vorhanden.

Noch ein weiterer Nachtrag:

die Sache mit der Management VLAN Theorie hat mich nochmal etwas grübeln lassen, deswegen habe ich einfach nachgeschaut. Die Antwort ist ja. Es ist fast schon ein bischen gruselig, wenn man bedenkt dass es eigentlich nur ein "dummes" Modem sein sollte. Wen es interessiert, hier eine Liste der Interfaces (MAC Adressen und Link-Local IPv6 Adressen habe ich natürlich unkenntlich gemacht).

# ip addr show

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: sit0@NONE: <NOARP> mtu 1480 qdisc noop state DOWN group default
link/sit 0.0.0.0 brd 0.0.0.0
3: ip6tnl0@NONE: <NOARP> mtu 1452 qdisc noop state DOWN group default
link/tunnel6 :: brd ::
4: bcmsw: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether xx:xx:xx:xx:xx:xx brd ff:ff:ff:ff:ff:ff
inet6 fe80::aaaa:aaaa:aaaa:aaaa/64 scope link
valid_lft forever preferred_lft forever
5: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1998 qdisc pfifo_fast state UP group default qlen 1000
link/ether xx:xx:xx:xx:xx:xx brd ff:ff:ff:ff:ff:ff
inet6 fe80::aaaa:aaaa:aaaa:aaaa/64 scope link
valid_lft forever preferred_lft forever
6: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1998 qdisc noqueue state UP group default
link/ether xx:xx:xx:xx:xx:xx brd ff:ff:ff:ff:ff:ff
inet 192.168.100.1/24 brd 192.168.100.255 scope global br0
valid_lft forever preferred_lft forever
inet6 fe80::aaaa:aaaa:aaaa:aaaa/64 scope link
valid_lft forever preferred_lft forever
7: gpondef: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1998 qdisc pfifo_fast state UP group default qlen 1000
link/ether yy:yy:yy:yy:yy:yy brd ff:ff:ff:ff:ff:ff
inet6 fe80::bbbb:bbbb:bbbb:bbbb/64 scope link
valid_lft forever preferred_lft forever
8: gponif: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1998 qdisc noqueue state UP group default
link/ether yy:yy:yy:yy:yy:yy brd ff:ff:ff:ff:ff:ff
inet6 fe80::bbbb:bbbb:bbbb:bbbb/64 scope link
valid_lft forever preferred_lft forever
9: eth0.1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1998 qdisc noqueue master br0 state UP group default
link/ether xx:xx:xx:xx:xx:xx brd ff:ff:ff:ff:ff:ff
inet6 fe80::aaaa:aaaa:aaaa:aaaa/64 scope link
valid_lft forever preferred_lft forever
10: brg0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1998 qdisc noqueue state UP group default
link/ether xx:xx:xx:xx:xx:xx brd ff:ff:ff:ff:ff:ff
inet6 fe80::aaaa:aaaa:aaaa:aaaa/64 scope link
valid_lft forever preferred_lft forever
11: eth0.b1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1998 qdisc noqueue master brg0 state UP group default
link/ether xx:xx:xx:xx:xx:xx brd ff:ff:ff:ff:ff:ff
inet6 fe80::aaaa:aaaa:aaaa:aaaa/64 scope link
valid_lft forever preferred_lft forever
12: gem2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1998 qdisc noqueue master brg0 state UP group default
link/ether yy:yy:yy:yy:yy:yy brd ff:ff:ff:ff:ff:ff
inet6 fe80::bbbb:bbbb:bbbb:bbbb/64 scope link
valid_lft forever preferred_lft forever

Dear all,

ich habe mich jetzt angemeldet und damit hoffentlich das "Profil befüllt". Bin mal gespannt, ob ich jetzt einen Link zum Download der aktuellen Firmware erhalte.

Im Übrigen: Das ganze Forum ist eigentlich eine unglaubliche Zeitverschwendung, wenn die Telekom nicht auf solche Fragen reagiert.