Zo ik begrijp is/was dit een security gat voor FritzBoxen waar de provider administratieve (ik denk dan ACS) configuratie toegang toe heeft. Ik ga benieuwd zijn wat er volgens avm.de nu echt is gepatched.
Het lijkt mij zeker geen fout in de userid/password remote login die wmb redelijk staat als een huis. Na een retry-poing kom een hacker/cracker al gauw in het pad van oplopende tijdvertraging om in te kunnen loggen (en wordt - email push - een foutboodschap verzonden).
Jammer blijft ook hier weer dat āikā als gebruiker niet meer in staat bent te zien wat er op precies op IP-stackniveau gebeurd noch de commando vrijheid meer hebt om firewall ārulesā toe te passen of de syslog (als bewijs) te kunnen loggen.
Ook zoietsā¦
TR-069 staat hier ook alleen aan als het echt nodig is.
Dit na een onprettige ervaring.
Ik neem aan dat Freedom dit verkeer ook niet filtert, dus je bent afhankelijk van de beveiliging van de fritzbox. Die in de 74xx en 54xx modellen verouderd is.
Ik hoop dat er ooit een manier komt bij Freedom die gebruikers simpel in staat stelt een (soort van) firewall te plaatsen zodat iemand - bvk met een profiel - kan kiezen.
Grotendeels van de tijd ben ik consument en op sommige testmomenten wil ik het compleet open hebben. Intern in de FB zitten wel wat meer afwijkende zaken die avm.de (als maker) zich als āmethodeā heeft toeĆ«igend.
Ik gebruik al zo lang een Frizbox dat ik ook Fritz ben gaan denken.
Het is best wel een bijzonder apparaat.
Toen Freedom begon, was het heel duidelijk dat alles open moet zijn.
Op een gegeven moment komen ze wel tot inzicht dat extra beveiliging een goede aanvulling is.
Ik heb ook wel mensen horen mopperen, dat bij xs4all sommige filters niet instelbaar waren.
Zelf heb ik dat nooit gemerkt, omdat ik geen server draai thuis.
Als Freedom door blijft groeien, komt het allemaal wel goed.
Dat filter verhaal ken ik ook. Vervelende in die non-discussie was dat het doel uit verband werd gehaald (door dwarsziekers).
Mij boeide het weinig dat iemand een toevoegende functie wilde gebruiken zolang ik maar de keuze had, het niet te hoeven moeten gebruiken.
De poort-bescherming was primair zodat een āargelozeā gebruiker vanuit het netwerk intrinsiek werd ābeschermdā en niet hoefde te vertrouwen op de eigen vaardigheden of - obscure - werking van de firewall in hun router of pc.
Ik hoop dat Freedom serieuzer aandacht gaat geven dat het eigen providernetwerk, haar gebruikers de basiskeuze moet bieden om zich te kunnen afschermen.
Ik ken situaties (ook nu nog bij Fritz) dat dingen zogenaamd schijnbaar goed lijken ingesteld maar onder water compleet open staan/stonden.
Wanneer een gebruiker de interne werking(swijze) niet kan controleren, zoals bij Fritz maar ook in het Freedom domein, ontstaat schijnveiligheid.
En nee, een webpagina met een resulterende status of zalvende woorden, zegt mij weinig als als bewijs van āveiligheidā.
Ik vraag mij welās hoe deskundigen op het idee komen dat door iets ontoegankelijk te maken of niet te publiceren, dit zou resulteren in een betere bescherming.
Zover ik verneem is dit om het pas ontdekte gat in de FW af te kunnen dekken.
Later deze maand zou AVM met een verklaring gaan komen.
Gaat vast nog wel een leuk staartje krijgen .
Ik heb ook de 7.57 gekregen op mijn 7583.
In de release notes bij de update van die versie was niets te zien.
Van versie 7.56 wel.
Ook op de website van AVM zijn er geen release notes van 7.57 te vinden.
En vooral als het de eigen apparatuur is waar niemand in mag kijkenā¦
Ik vermoed dat er een gat van hier tot Tokyo is bemerkt dat nog wel even zal doordenderen. Ook lastig hoe je dan ieder zover krijgt de update te installerenā¦ dat ik bv niet ga doen want ik wil zeker geen functies kwijtraken onder het mom van āwe hebben een foutā.
En dan dik een week geleden bron, gebruikers die ineens niet meer konden inloggen op hun FB afwimpelen met:
āAVM is currently investigating some cases of international versions of the FRITZ!Box 7590 (Wi-Fi 5) whose Internet connection was interrupted. AVM recommends that all users use FRITZ!OS version 7.56. The Internet connection can be restored under Wizard > Internet in the user interface menu (fritz.box). At no time was it possible to steal stored data or passwords, or gain unauthorized access to the home network. There are currently no indications of attacks targeting our products.ā
Dat is op dit moment heel logisch en alleen maar goed. Je wilt nog niet aan de grote klok hangen wat voor lek er precies in zit om extra misbruik te voorkomen. Eerst even rustig alle gebruikers een redelijke periode geven om de update te kunnen installeren. Wat dat betreft niet gek om bijvoorbeeld een maand na fix pas iets naar buiten te brengen met details.
Het vervelende is dat er nu allerlei gesprekken zoemen als speculatie waar ik verder hier maar geen duiding aan geef. Vooral ook omdat AVM de gewoonte heeft dingen wel te vertellen. Dat er zo snel en ook voor oudere modellen wordt ingegrepen doet mij alleen maar vermoeden dat Lochness is opgedoken.
Zelf heb ik niet zoveel met zaken achterhouden want dat is de opmaat naar eigen willekeur. Zakelijk is het sws onacceptabel en wil je altijd weten wat er wordt gepatcht en niet zoals partijen doen dat āzijā vinden dat het heel nuttig is.
Verder, wat is dan wiens norm wanneer iets wel of niet en wat daarvan bekend wordt gemaakt.
Helemaal niet erg om er luid en duidelijk over te zijn, je hoeft dan nog niet precies de vulnerability te gaan uitleggen en hoe je dit moet misbruiken.
Maar de ernst mag je zeker zeer duidelijk benomen en volgens mij zelfs verplicht tegenwoordig.
Te zien aan de (aanmaak)datums lijkt de patch beperkt tot firmware versies van 55/64/65/66/68/73/74/75xx en is er op 4+5sep23 flink doorgewerkt.
Ik vraag mij ook af of en in hoeverre dingen fatsoenlijk zijn doorgetest. In hoeverre het uitgebreid test/acceptatielab van AVM (met alle mogelijk apparatuurcombinaties) voldoende goed is doorgetest, is - voor mij - nog een vraag.
De procedure zelf, lijkt tenminste ingekort, ook omdat de release info nog nergens is bijgewerkt.
De nodige sudoku vraagjes dus, ook gelet dat de firmware van een bepaald modem pas nog gisteren (06sep23) is gereleased.
Mijn vermoed is dat het probleem zodanig is dat AVM eerst de meeste modems up-to-date wil zien en dan de details wil vrijgeven. Ik verwacht dat die details tzt wel gaan komen.
Wat betreft het ontbreken van release notes, het staat wel bij de 5530:
Further Improvements of FRITZ!OS 7.57
System:
Fixed stability and security increased
Dat ze nog niet bekendmaken wat er precies aan de hand is past bij responsible disclosure.
Als het geen zeroday is dan houden de ontdekker en vendor het lek/bug stil voor een afgesproken of gedwongen periode. Is het wel een zeroday dan wordt het lek/bug mogelijk al actief misbruikt.
De vendor gaat het probleem aanpakken en stuurt het door een versnelde QA procedure.
Er wordt intern een uitrolschema opgesteld op basis van kwetsbaarheid en een deadline voor de bekendmaking, zodat alle klanten binnen een redelijke termijn de kans hebben om het lek te dichten.
Na goedkeuring van QA komt de patch online en op het security kanaal van de autoupdater. Dat moet in batches om te voorkomen dat de hosting plat gaat en het proces dus vertraagt.
Zodra die redelijke termijn is verstreken, de autoupdaters hebben gedraaid en het overgrote deel van de klanten de patch heeft gedaan, dan pas is er ruimte voor meer (gefaseerde) openheid.
.