Settings FRITZ!Box 7590 saved by your internet provider?

Kan/wil iemand licht schijnen, of onze provider zelf backups kan nemen van een FB, hier een 7590 ?

Ik kreeg een mail van mijn (abbo aangekochte) FB7590 met de boodschap:
The settings of your FRITZ!Box 7590 were saved to a backup file by your internet provider.
… en jawel vandaag 19jan23 om 10u23, staat in de systeemlog (als eerste boodschap van deze dag) : 10:23:08 The settings were saved.
Voorafgaand vandaag, was er ook niet (op)nieuw of zo ingelogd. Op en rond dat tijdstip, zie ik niet 123 een reden.

Ik vraag mij af of hoe, door wie en waarom voor wat toestemming is gegeven en dan vooral, waar die “backup” met daarin allerlei gevoelige data is neergezet ?

Ik heb in/op Mijn FB7590 alles aangaande remote/auto/update controle gedoe sws uitgezet omdat ik zelf wel bepaal wat en/of wanneer ik (incl backups) doe.
Dus er staan geen vinkjes bij provider-services en avm-services etc.etc.

In de dump/supportlog staat verder een nog steeds actief/lopend proces:

• rw-r--r-- 1 root root 1 Jan 19 10:23 configexport.count
  Opvallend is dat er sinds dit proces loopt
• -rw-r--r-- 1 root root 158 Jan 19 10:25 updatecheck.log
  terwijl ik absoluut geen updates, laat staan automatisch dingen laat uitvoeren, vederop in delog staat dan weer (geruststelllend?)
• 2024-01-19 10:25:08 AutoCheck: allow_background_comm_with_manufacturer not set

Update1: Ik heb ook log(s) van mijn systemen bekeken, en nergens op of voor/rond dat tijdstip, laat staan is door ons een backup veiliggesteld.
Ergo, iets gebeurd er dat niet mijn instemming heeft gehad. Normaal moet een backup via een key/code, worden bevestigd. In de supportlog, zie ik daarvan sws geen registratie. Ergo, er lijkt een “backup” te zijn genomen; zonder mijn opdracht of onze instemming.
Update2: Wanneer ik zelf, expliciet een backup doe, krijg ik dezelfde mail maar dan zonder de tekst dat mijn provider dat heeft gedaan.

Bijzonder. Ik krijg van de FB’en (5590 en 5530) die ik beheer rechtstreeks op provider lijnen nooit dergelijke meldingen en als alle remote management opties / provider services uitstaan, zou het al helemaal niet moeten kunnen. Een zoekopdracht bij de vrienden van Google levert ook niks nuttigs op.

Ik zie ook niet in waarom Freedom, of welke andere provider dan ook, dit zou doen. Als het misgaat met je FB, doe je een factory reset (of krijg je een nieuwe in factory default) en dan werkt de verbinding out-of-the-box. De rest van de instellingen is je eigen verantwoordelijkheid.

Welke versie van FRITZ!OS draai je? Misschien nog een hele oude die (bekende) lekken heeft en dat er een derde nu misbruik maakt van zo’n lek?

Er staat niets in de supportlog, dus
andere vraag:
Komt deze melding wel van jouw FritzBox ?
Heb je de e-mail-details zoveel mogelijk bekeken ?
Is het geen gemaakte nep-mail ?
( een heel andere denk-richting dus )

Wat ik weet is dit.

Er is een optie dat de provider dit kan doen.
Echter, heeft Freedom mij laten weten dit soort dingen niet te doen.
Mijn 5490 toen, is ooit ook terug gezet op een oude firmware.
Sindsdien ben ik voorzichtiger.
Er is me ooit verteld dat XS4ALL dit verkeer filterde om misbruik te voorkomen.

5590 Provider Services1280×368 24.7 KB

5590 Push service780×151 5.6 KB

Er staat juist wel in de support log dat op dat tijdstip een “save” is gedaan, waarvan ik dan de mail krijg dat dit door de provider is uitgevoerd.

Ik krijg inmiddels een onbestemd gevoel dat ondanks, de uitvinkjes, de AVM software van het op & door Freedom afgestemde modem; mogelijk een achterdeurtje zit.
Ik heb sinds dat ik het modem heb, deze boodschap nog niet eerder gezien noch waargenomen.

Ik heb ook een ticket gemaakt mbt dit bij Freedom gekochte modem maar vond omdat ik daarvoor geen autorisatie heb gegeven, het belangrijk genoeg om dit ivm “helpdesk drukte” aan het forum voor te leggen.

Ik draai versie 7.50 die volgens sommigen verouderd zou zijn.
Om een daarin afleidende discussie voor te zijn, moet dat hier totaal niet boeien. Al zou er een zg lek zijn, zou alleen Freedom dat imo kunnen gebruiken.
Fyi, alles is hier zo goed als mogelijkmet een FB, standaard dichtgetimmerd, was ik niet ingelogd en staat er ook geen VPN of externe toegangspoort open of zo.
Stel dat er een ACS -lek is, zou imo alleen Freedom als enige “derde?” dat “zelf” - met welk doel dan exploiteren. Wat nog zou kunnen is vanuit de AVM - MyFritz - omgeving waarbij er geen enkele melding is dat daarmee er in/op zou zijn ingelogd.

De mail die ik krijg is 100% vanuit het ‘modem’ direct op/en naar mijn Freedom mailbox.

Heb je HTTPS toegang voor buitenaf aan staan op je FRITZ!Box (al dan niet op de standaard poort)? Er zit in FRITZ!OS < 7.57 namelijk wel een serieus beveiligingslek (waarbij zelfs specifiek de FRITZ!Box 7590 wordt genoemd als kwetsbaar, maar zou volgens mij ook op andere FB modellen van toepassing moeten zijn). Zover ik begrijp moet daarvoor wel HTTPS toegang voor buitenaf openstaan, maar dat krijg ik niet met 100% zekerheid gevonden. Wellicht is er ook iets mogelijk als dat niet aan staat. Hoe dan ook lijkt het nu nog steeds op 7.50 draaien me sowieso een veiligheidsrisico, maar goed.

Ik weet wel, dat er na het dichten van het lek, bij iedere herstart de self signed certificaten vernieuwd worden.
De reden dat ze de details nog steeds geheim houden is, omdat er eigenwijze mensen zijn die niet updaten.
Daarmee, wil ik niet zeggen dat dit met dat lek te doen heeft.
Ik zou zeggen, bel maandag eens met AVM.
Die spreken Nederlands en zijn zijn zeer behulpzaam en vriendelijk.
Ze zouden ook nooit zeggen, we helpen je niet omdat je een oude versie draait.

Mopperen helpt niet, een ticket aan maken wel.

Thx. Mijn ervaringen met een AVM zijn - over de vele jaren heen - helaas “wat” anders. Ik was - in mijn beleving - niet aan het mopperen maar heb vooral zorgen. Ticket was ook al gemaakt en ik wacht acties daarin (on)geduldig af.
//–//
Voor ieders “gezelligtijd” en “afgelijding”, ga ik niet bellen met AVM.
Ik heb het ding & connectie met/van/via Freedom.

De boodschap verteld helder dat mijn provider een back-up heeft genomen.
Ik wil o.a. ook weten of Freedom dat “hoe dan?” en/of “ongevraagd” mogelijk zou kunnen, heeft gedaan en zo niet, wie/wat hoe dan wel. Dat “zij” dat niet zou doen en het toch lijkt te zijn gebeurd is dan verder te rechercheren.

Los daarvan zijn dit van die momenten dat ik uit pure technische interesse vv. kennis & kunde, graag - mijn part onder NDA - de “code” (leesbaar en desnoods object/binary) zou willen bestuderen om te kunnen achterhalen -of en waar dat kan zijn gebeurd.

Het lijkt mij geen cracker/hack want dat die/dat zou imo daarvan geen boodschap achterlaten. Wat nu vooral vervelend is dat account/userids van allerlei ingebouwde services (nas, voip, domotica, vpn en zelfs “certificaten”) mogelijk nu ergens te grabbel zijn gevallen.
Waar is of kan een hier geëxporteerde back-up afgeleverd !!!

Poort 443 staat sec technisch ivm “MyFritz” toegang open. In de logs staat niets dat iets/iemand zou zijn ingelogd. De userids die waren ingelogd zijn die van Domotica/Voip en hebben sws geen andere (systeem)rechten.

Als en indien AVM zelf via haar of een andere systematiek, een “lek” (aan anderen) biedt, zou het gepast zijn dat zij dat direct onverwijld aangeeft.
Niet eens met “hoe dan precies”, maar dat met FW x.y.z zonder instemming door anderen back-up acties kunnen worden uitgevoerd.

Wanneer via welke weg dan ook, ongeautoriseerd een back-up kan worden genomen, zou AVM zelf - opzettelijk by design - een gat van hier tot Tokio faciliteren. Ongeacht of en op wiens verzoek tot waarom.
Zelfs met ACS, is er (indirect) een delegatie door de gebruiker dat de provider bevoegd is om whatever dingen te doen.

Dit door AVM dan in de eigen software een mogelijkheid zou scheppen dat kennelijk geen enkele handelin of toestemming vraagt van een gebruiker noch wachtwoord vereist om een “back-up” daarmee inhoudelijk te beveiligen.
Laat staan dat data aan wie/waar dan ter beschikking kan worden of is gesteld.

Sws: “Security through Obscurity by Delay is an Illusion”

Ok, dan zou ik me nu serieus zorgen maken en heel snel firmware update uitvoeren, factory reset uitvoeren en alle instellingen handmatig opnieuw doen. Daarna alle voip accounts wachtwoorden e.d. die in de FB stonden wijzigen.

Het gaat hier niet over een bewust ingebouwde achterdeur, maar een fout in de software. Ik durf wel te stellen dat de kans heel klein is dat Freedom een backup heeft gemaakt van jouw FB, hebben ze geen enkel belang bij. Ik gok dat dit het gevolg is van niet patchen van je FB.

Dan hoor ik, zo ja, graag - ook van Freedom - eerst specifiek of en welk risico daarin dan zou liggen.

Ik ga mij zeker niet zonder enige informatie of inhoudelijk redenen, overgeven aan iemands “adviezen” dat XYZ vooral beter, mooier en nog veiliger zou zijn.
En nee, dat is niet om het beter te weten of bij gevolgen dan zelf enige schuld te hebben aan misbruik.

//–//
Zakelijk ligt dat wellicht anders want dan zal iemand gehouden zijn aan verantwoordelijkheden, wel moeten. Dus: je hebt strikt formeel gelijk en gaat daarin voorbij aan de onredelijkheid van dergelijke “adviezen”.

Over of iets (on)opzettelijk, (on)bewust zou zijn (vergeten), verschillen we van mening. ‘Ik heb daar verder ook geen andere actieve herinnering aan.’
Wanneer mijn ontwikkelaars dit soort dingen zo fabrieken, is dat nooit per ongeluk en altijd omdat iemand zelf een korte bocht afsneed. Het ontbreekt dan aan ontwerp en vermeende veiligheid is vooral oppervlakkig aangebracht om het veilig te laten schijnen.
Niets mis mee voor eigen of intern “gebruik” maar volstrekt onaanvaardbaar om daarmee anderen publiekelijk bloot te stellen aan gebreken door eigen falen.

Reden waarom OpenSource inzake beveiliging juist een absolute kwaliteitsfunctie heeft om dit soort omissies te voorkomen omdat er (flink) veel meer mensen met een ander “blik” de zaken beoordelen.

Terzijde, onnodig om verder toe te lichten, hebben wij wat meer “draaien” zodat we vooral zelf kunnen zorgen voor onze eigen veiligheid dan dit blind te vertrouwen op iemands blauwe ogen.
Mijn navigatie zegt ook soms dat ik beter kan afslaan en ik dan toch ondanks stormwaarschuwingen maar mijn eigen “weg” kies.

En als er al serieus gevaar zou zijn, zou imo juist een Freedom een poortfilter kunnen plaatsen om misbruik tenminste te signaleren of dat dan te voorkomen.

Je merkt op dat er opeens rare dingen gebeuren op je FB (in dit geval opeens backups die gemaakt worden en mogelijk interessante informatie voor kwaadwillende kan bevatten), je draait (bewust) een firmware versie die al sinds september 2023 door de fabrikant als onveilig wordt bestempeld, zeker indien poort 443 openstaat zoals bij jou. Er zijn bovendien al sinds september 2023 meldingen dat de betreffende kwetsbaarheid actief misbruikt wordt.

Prima, doe je er verder niks mee (alsof ik daar minder om slaap, mijn netwerk is veilig en ik kan na 20+ jaar werkzaam te zijn in de IT op zowel particulier als professioneel vlak nog steeds zeggen dat ik nooit gehackt ben). Je kan ook je kop in het zand steken, zoals jij. Uiteindelijk heb je daar alleen jezelf mee. Je bent hoogstwaarschijnlijk gewoon gehackt, en dat is dan je eigen schuld door grove nalatigheid en bovenal eigenwijsheid. Maar je zal dat wel weer omdraaien om lekker te kunnen afgeven naar Freedom, wat zij allemaal wel of niet hadden moeten doen om je eigen nalatigheid en verantwoordelijkheid te verdoezelen. Prima, ik ga mijn tijd er verder niet in steken om iemand proberen te helpen, die niet geholpen wil worden, dat is namelijk onmogelijk.

tldr; maak het niet persoonlijk en aangehaalde bug was feitelijk anders.

Ik snap een gedreven redenatie die mij weinig anders toevoegt met hoe jij dingen ziet om zonder verdere onderbouwing; allerlei vermoedens te uiten waarmee een ander dan iets zou moeten doen.

Zelfs als deze hack zo zou kunnen worden geëxploiteerd, verklaart mij dat niet: hoe zonder “autorisatie”, via welk proces dan ook; er een back-up kan worden genomen door de provider. Nu heb ik wel zo mijn vermoedens dat er achterdeurtjes zijn (of worden ingebouwd) en men zich dan vooral druk maakt dat ze ontdekt worden.

Inzake de vooringenomenheid door op karakterelementen te gaan zinspelen: spaar mij de “adviezen” en ik hoef ook niet “geholpen” te worden.

Verder lijkt mij dat Freedom zich geen zorgen hoeft en vooralsnog gaat maken over mijn (of jouw) adviezen. De taak waar Freedom zich op voorstelt is dat haar gebruikers zich veilig, online en in vrijheid inclusief gewaardeerd; kunnen verbinden met internet.

Ik snap alleen niet waar je heen wilt gaan met je betoog.
Dat de naam Freedom bij de actie stond, zou je Freedom als eerste kunnen vragen.
Dan is het de vraag, gaat Freedom het aankaarten bij AVM of niet.

Ik heb het ook al eens met Freedom en AVM gehad over het terugzetten
van de Firmware in mijn vorige 5490.
Voor mij is het een bevestiging dat er iets mis gaat.
Echter dit is al gebeurt in den beginne van Freedom.

Zolang er geen duidelijkheid is. Kun je ook niets aanpassen.
Van 1 klacht, komt ook geen uitgebreid onderzoek.
Als niemand het meld, komt er ook geen actie.

Spullen van AVM kunnen ook elkaar triggeren, voor een update.
Dit kun je ook uit zetten.
Dat er de naam van de provider bij komt staan, kan ook een fout zijn.
De fritzbox is een ding met heel veel deurtjes, die je dicht kunt doen.

@anon0224 Wat ga je nu doen met je bevindingen?

Ik heb geen bevindingen dan gedeelde constateringen. Dat er van alles kan, zijn vermoedens die zover de ‘situatie’ raakt kunnen imo worden besproken.

Of Freedom het voldoende zinnig vindt, is dan aan ‘haar’ waarbij ik verwacht dat zij navraag en/of melding doet bij leverancier(s).
Vervolgens is het dan weer aan die partijen om als hun werkingsbelang, dingen op merites te beschouwen. Ik geef daarin dan mijn medewerking; zover het gaat om “informatie” delen.
Wat ik niet “als gezegde” ga doen, is zonder uitleg of inhoudelijke toelichting, een niet nader omschreven ‘update’ doen omdat het ‘beter’ zou zijn.

Vooralsnog kijk ik naar de situatie: volgens een mail aangemaakt vanuit de FB7590, "heeft mijn provider, dat hier imo Freedom is, een back-up genomen**.
Of dat al of niet inhoudelijk zo is of allemaal (niet) zou kunnen zijn; is dan “ter verder” onderzoek. Volgens de boodschappenlog, zijn op dat tijdstip - zonder mijn toestemming - ook “instellingen bewaard”.

Er is wmb dan zeker wat vreemds en reden dat dit mijn interesse heeft.
Of dat in welke mate “mis” of “gevaarlijk” is, hangt af of dat door wie en hoe, laat staan waardoor het kan zijn veroorzaakt. Wat mij iig niet bevalt, is dat het kennelijk gebeurd.
Derhalve, heb ik bij Freedom een ticket ingelegd en kaart ik het in verdere achtergrond op het forum (en elders) aan.
Enerzijds om een verklaring proberen te achterhalen en anderzijds meer generiek, ook qua gebruikte “techniek”, gerelateerde (bij)verschijnselen te bespreken. En ja, hierbij heeft Freedom wmb ook een “rol”, als provider maar ook als betrokken partner.

Ik heb inmiddels gezien dat de inhoud van een eigen backup, leesbaar is.
Door de back-ups te vergelijken, lijkt qua ‘cruciale’ instellingen niets te zijn gebeurd. De userids/wachtwoorden zelf, zijn in mijn back-up “encrypted” waarbij het bestandswachtwoord weer lijkt te dienen als “decodeer sleutel” .

Iemand die mijn configuratie-bestand heeft, heeft ook de instellingen - dat ook informatie is - zonder direct bijbehorende userids en vooral wachtwoorden.
Iemand die zelf een back-up neemt, “heeft” - naar ik aanneem - het wachtwoord ingesteld waarmee diverse userids kunnen worden achterhaald.
Dit door de configuratie selectief op een andere FritzBox terug te zetten en dan een supportlog te draaien.
NB: kan natuurlijk zij dat allerlei termen als “back-up” en/of “door provider” verkeerd (om) geduid worden en dan, ook hier vraagt dat om uitleg en/of toelichting.

Ik wil mijzelf corrigeren dat mijn poort 443 extern NIET openstaat.
AVM gebruikt voor haar externe (MyFritz) doorschakeling, een andere willekeurig poortnummer. Dit bemoeilijkt dan eventuele scanners omdat een aanvaller 65.000 poorten moet afsnuffelen om die vervolgens via een “https” protocol pobreren te penetreren. Bruforce pwachtwoorden breken is effectie met een vertragingsmechanisme, beschermd.
Uitsluiten zijn dingen niet maar ik wens iemand veel ‘tijdverdrijf’ omdat ik regelmatig (offline) mijn wachtwoorden verander en daarna bijbehorend MyFritz activeer. Daarmee wordt dus ook de “externe” https-poort veranderd wanneer ik die weer “online” zet. Check leert dat na elke activering, een andere https-poort wordt gebruikt.

NB: Intern/lan staat poort 443 e.d. natuurlijk wel open ivm toegang tot menu en instellingen etc.etc.

Kwestie van een paar seconden werk, als het al handmatig gedaan wordt. Meestal gewoon een tool die hele IP-ranges geautomatiseerd afgaat en als die op iets stuit dit door zet naar de beheerder van de tool, die het vervolgens (handmatig) kan proberen uit te buiten. IP ranges van een ISP waarvan bekend is dat ze FB uitzetten, zijn dan extra interessant als je naar een bepaalde exploit opzoek bent.

geachte @anon0224 ,

is er een mogelijkheid om heel secuur van de FritzBox Configuratie-WIJZIGINGEN te achterhalen ? Ook al ‘lijkt’ er niets te zijn gewijzigd.
( anders gesteld: is er nog achter te komen WELKE instellingen zijn gewijzigd van-OUD naar-NIEUW? )

Andere suggestie:
is er wellicht precies op dat moment gezocht naar updates ?
( denk ik niet, want volgens mij had u ‘Auto-Update’ UIT staan )
Maar kijk eens bij het openingsscherm ( Overzicht ) of bij Systeem ( Update ) wat de laatste keer is dat daarnaar is gezocht.

Mesh-iets ?
Als u Mesh heeft, is dan wellicht door één van de andere Fritz-apparaten gezocht naar Updates
( natuurlijk via de Mesh-master, denk ik )

( ik probeer maar een paar zoek-paden voor te leggen; ben zelf ook heel nieuwsgierig wat dit nou uiteindelijk blijkt te zijn geweest )

Laat het geachte maar weg.

Ik heb idd mijn configuratie voor -en na incident vergeleken en zie geen directe verschillen. Natuurlijk heb ik direct eerst alle beheerswachtwoorden veranderd.

Ik heb de optie van zoeken naar “updates” geactiveerd om geïnformeerd worden en die verder geblokkeerd dat ze niet (laat staan, automatisch) worden uitgevoerd.

Mesh en gerelateerd; zou kunnen maar lijkt mij nvt omdat ook mijn andere (intern gebruikte) Fritz apparaten alles dat (zich)zelf kan/gaat updaten, is uitgezet. Dan nog blijven dezelfde vragen rijzen, hoe en wie kan op afstand, een dergelijke ongeautoriseerde back-up (laten) nemen en waar dan neerzetten ?.

Dank voor het meedenken want het intrigeert mij omdat ik nog niet eerder dit in mijn logs heb waargenomen. Ik kan het echter niet uitsluiten omdat bij “herstart” van een FritzBox - wat met enige regelmaat gebeurd, de inhoud van logs verloren gaat.
Bij AVM heb ik wel eens aangegeven dat de mogelijkheid tot remote syslogging en laat staan (snmp) monitoring, een betere optie tot (storings)beheer zou bieden. Zij mij meldden mij dat dit functioneel niet nuttig geacht werd voor een particuliere geörienteerde setting. De FritzBox zou - werd mij verteld - voor een syslogclient (van maximaal 5Kbyte) geen ruimte, functie en capaciteit hebben.

Voor dit moment zie ik - buiten als of niet bewust uitgevoerd - de volgende opties:

1. Just once in a time ergens een quark-bit die een een onmogelijk verkeerde (boodschao)afslag nam (bit-fout leidend tot dit lijden).
2. Bug/hack waarbij de provider beheersoptie kan kan zijn geactiveerd cq onbedoeld gebruikt.
3. iets anders, ik sta open voor suggesties.

Ongeacht is het bizar dat hier zonder enige instemming volgens de boodschap een back-up kan worden genomen. Zelf moet ik daarvoor een keuy/code indrukken. Nu is een boodschap ook maar een tekst die ‘ik’ mogelijk verkeerd interpreteer. Opvallend is dat de boodschap geen deel uitmaakt van de gedocumenteerde “eventlog” database en Google geeft opmerkelijk 0,0 hits. Dit laatste kan weer zijn om dat er misschien- vanwege risico’s ? - (ooit) takedowns voor die boodschap of verwijzingen zijn geplaatst.
Verder kan een “internet provider” hier ook een functie/routine of ander benoemd proces zijn en de boodschap zelf verder geen “externe” betekenis heeft.

Ik vraag mij ook af, wat Freedom als beherend gelieerd reseller kan navragen of zij als een connectie provider al of niet via ACS, ongevraagd een backup zou kunnen (laten) nemen. Soms heeft apparatuur daartoe intrinsiek een mogelijkheid.

Dit even los of Freedom dat als intrusieve handeling ook zou - willen - doen, met of zelfs zonder dat daarvoor gebruiksvinkjes zijn gezet. Puur een ingebouwde capaciteit hebbend om op afstand back-up te laten nemen en los van iemands intentie tot een competentie.

En als Freedom het niet doet, laat staan kan, wordt interessant welk toegangspad via de Freedom connectie, daartoe kennelijk een mogelijkheid heeft. Daarnaast de vraag waar (naartoe) en in welke vorm een “backup” is geëxporteerd.

De "provider backup’ kan wmb zelfs “interne” LAN oorzaken hebben zijn waarbij eveneens weer dezelfde vragen rijzen: wie of wat heeft daartoe dan hoe deze mogelijkheid aangegrepen ?

Op het gevaar af dat ik voor een taalnazi wordt uitgemaakt:
Naar mijn mening wordt een backup gemaakt, niet genomen.