En vooral als het de eigen apparatuur is waar niemand in mag kijken…
Ik vermoed dat er een gat van hier tot Tokyo is bemerkt dat nog wel even zal doordenderen. Ook lastig hoe je dan ieder zover krijgt de update te installeren… dat ik bv niet ga doen want ik wil zeker geen functies kwijtraken onder het mom van “we hebben een fout”.
En dan dik een week geleden bron, gebruikers die ineens niet meer konden inloggen op hun FB afwimpelen met:
“AVM is currently investigating some cases of international versions of the FRITZ!Box 7590 (Wi-Fi 5) whose Internet connection was interrupted. AVM recommends that all users use FRITZ!OS version 7.56. The Internet connection can be restored under Wizard > Internet in the user interface menu (fritz.box). At no time was it possible to steal stored data or passwords, or gain unauthorized access to the home network. There are currently no indications of attacks targeting our products.”
Dat is op dit moment heel logisch en alleen maar goed. Je wilt nog niet aan de grote klok hangen wat voor lek er precies in zit om extra misbruik te voorkomen. Eerst even rustig alle gebruikers een redelijke periode geven om de update te kunnen installeren. Wat dat betreft niet gek om bijvoorbeeld een maand na fix pas iets naar buiten te brengen met details.
Het vervelende is dat er nu allerlei gesprekken zoemen als speculatie waar ik verder hier maar geen duiding aan geef. Vooral ook omdat AVM de gewoonte heeft dingen wel te vertellen. Dat er zo snel en ook voor oudere modellen wordt ingegrepen doet mij alleen maar vermoeden dat Lochness is opgedoken.
Zelf heb ik niet zoveel met zaken achterhouden want dat is de opmaat naar eigen willekeur. Zakelijk is het sws onacceptabel en wil je altijd weten wat er wordt gepatcht en niet zoals partijen doen dat “zij” vinden dat het heel nuttig is.
Verder, wat is dan wiens norm wanneer iets wel of niet en wat daarvan bekend wordt gemaakt.
Helemaal niet erg om er luid en duidelijk over te zijn, je hoeft dan nog niet precies de vulnerability te gaan uitleggen en hoe je dit moet misbruiken.
Maar de ernst mag je zeker zeer duidelijk benomen en volgens mij zelfs verplicht tegenwoordig.
Te zien aan de (aanmaak)datums lijkt de patch beperkt tot firmware versies van 55/64/65/66/68/73/74/75xx en is er op 4+5sep23 flink doorgewerkt.
Ik vraag mij ook af of en in hoeverre dingen fatsoenlijk zijn doorgetest. In hoeverre het uitgebreid test/acceptatielab van AVM (met alle mogelijk apparatuurcombinaties) voldoende goed is doorgetest, is - voor mij - nog een vraag.
De procedure zelf, lijkt tenminste ingekort, ook omdat de release info nog nergens is bijgewerkt.
De nodige sudoku vraagjes dus, ook gelet dat de firmware van een bepaald modem pas nog gisteren (06sep23) is gereleased.
Mijn vermoed is dat het probleem zodanig is dat AVM eerst de meeste modems up-to-date wil zien en dan de details wil vrijgeven. Ik verwacht dat die details tzt wel gaan komen.
Wat betreft het ontbreken van release notes, het staat wel bij de 5530:
Further Improvements of FRITZ!OS 7.57
System:
Fixed stability and security increased
Dat ze nog niet bekendmaken wat er precies aan de hand is past bij responsible disclosure.
Als het geen zeroday is dan houden de ontdekker en vendor het lek/bug stil voor een afgesproken of gedwongen periode. Is het wel een zeroday dan wordt het lek/bug mogelijk al actief misbruikt.
De vendor gaat het probleem aanpakken en stuurt het door een versnelde QA procedure.
Er wordt intern een uitrolschema opgesteld op basis van kwetsbaarheid en een deadline voor de bekendmaking, zodat alle klanten binnen een redelijke termijn de kans hebben om het lek te dichten.
Na goedkeuring van QA komt de patch online en op het security kanaal van de autoupdater. Dat moet in batches om te voorkomen dat de hosting plat gaat en het proces dus vertraagt.
Zodra die redelijke termijn is verstreken, de autoupdaters hebben gedraaid en het overgrote deel van de klanten de patch heeft gedaan, dan pas is er ruimte voor meer (gefaseerde) openheid.
Ik heb maandagavond laat de update uitgevoerd en vandaag (zaterdag) halverwege de ochtend en begin van de avond heeft mijn FB5590 zichzelf opeens herstart. Gebeurde voorheen nooit en de eerste dagen na de update ook niet. Loopt niets bijzonders aan verkeer over de FB heen, ook niks anders dat er voorheen niet overheen liep. Geen idee of het toeval is of met de update te maken heeft. Meer mensen toevallig last van?
Samenvattend: Een aanvaller kan misbruik maken van een niet nader omschreven kwetsbaarheid in AVM FRITZ! boxen om mogelijk (remote) toegang te verkrijgen.
NB: opvallend is dat de risico inschatting initieel 7.1 was en nu wat hoger, op 7.3 is gezet.
Elders verneem ik dat na de update diverse gebruikers (nog) niet allemaal een automatische update kunnen (ver)krijgen en anderen (mn die op A/DSL) last hebben gekregen van andere indirecte “instabiliteiten”.
Zelf vermoed ik dat het vooralsnog, lijkt te gaan om FritzBoxen die vanwege de provider zg. TR069 toegang hebben (via remote poort 8089). Het gaat dan om (afgesloten?) boxen die door providers worden verstrekt (en vanuit daar beheerd). Meer specifiek is er met ACS een (gekend) risico (ook omdat in de Fritz, poort 8089 altijd lijkt te worden doorgelaten):
The compromise of an ISP ACS or the link between an ACS and CPE by unauthorized entities can yield access to the TR-069-enabled devices of a service provider’s entire subscriber base.
Ik ben zelf een keer de klos geweest, mijn FritzBox ging spontaan naar de vorige firmware.
Volgens AVM kan dit alleen via TR-069
Ze vonden de 5490 toen wat dit betreft verouderd maar nog net wel veilig.
De helpdesk van xs4all heeft me ooit verteld, dat ze het TR-069 verkeer afschermen.
Ik doe het nu alleen kort even aan, als het nodig is.
Voor @WoSp een tip.
Pushmail dienst aan zetten.
Dan de verborgen support pushmail aanzetten, die komt bij een herstart of als er wat mis is.
Je krijgt support bestanden, die gewoon met het kladblok leesbaar zijn.
Met de Telefoon te bedienen.
#991# Aan
#990# Uit
*99# Eenmalig een pushmail triggeren
