Aktuelle Sicherheitsthemen

Zurzeit wird über die Botnetz-Malware "Avrecon" berichtet, die Linux-basierte Router infizieren könnte. Nach ausführlichen Untersuchungen sind uns keine Schwachstellen in unseren Produkten bekannt, die sich für eine Infektion mit der Botnetz-Malware "Avrecon" nutzen lassen. Botnetz-Malware ist auf unseren Produkten nicht aktiv. Das zeigen eigene Beobachtungen und Kundenberichte.

Zur Zeit wird in Fachkreisen ein wissenschaftlicher Beitrag zu Sicherheitsfragen im WLAN-Standard unter dem Titel "Framing Frames" diskutiert. Unsere Produkte sind von keinem der im Papier beschriebenen implementierungsspezifischen Punkte betroffen. Außerdem wird ein Sicherheitspunkt beim 802.1x-Anmeldeverfahren diskutiert, bekannt als "WPA Enterprise". FRITZ!Box bietet diese Verfahren nicht an und ist daher ebenso nicht betroffen.

Die von den Forschern besprochene standardspezifische Denial-of-Service-Möglichkeit (DoS) besteht – wie für jedes WLAN-Gerät jedes Herstellers – auch für unsere Produkte; und zwar so lange, bis der Standard sich ändert. Allerdings sind bei Funktechniken ohnehin immer DoS-Möglichkeiten gegeben und viele WLAN-Clients sind sehr schnell im Wiederverbinden (0.5 bis 3.5 Sek). Es würde lediglich die Verbindung kurz unterbrochen, aber keinerlei Daten entwendet werden können.

Wir schätzen die Gefahr, die von der Sicherheitslücke "Framing Frames" ausgeht, insgesamt als recht gering ein. Unabhängig von den aktuell diskutierten Punkten empfehlen wir generell bei der Nutzung von öffentlichen Hotspots immer die Verwendung von höherliegenden Verschlüsselungsverfahren wie beispielsweise HTTPS oder VPN. Mit dem aktuellen FRITZ!OS 7.50 lässt sich VPN in Hotspot jetzt noch einfacher nutzen, siehe auch VPN mit FRTZ!Box.

Kürzlich wurde eine Schwachstelle in den freien Softwareprojekten uClic und uClibc-ng bezüglich der Verwendung von Transaction-IDs in DNS-Anfragen bekannt. FRITZ!OS nutzt für DNS-Anfragen in Richtung Internet diese Projekte nicht und ist daher von dieser Schwachstelle nicht betroffen.

Kürzlich wurde eine Schwachstelle im häufig eingesetzten Java-Projekt "log4j" bekannt. FRITZ!-Produkte sind davon nicht betroffen. Ebenso ist der MyFRITZ!-Dienst nicht betroffen.

Aktuell kursieren Phishing-Mails, die augenscheinlich im Namen der FRITZ!Box versendet werden. Die Phishing-Mail stellt den Inhalt einer FRITZ!Box-Push-Service-E-Mail nach und gibt an, eine Anrufbeantworternachricht als Anhang zu enthalten. Bei dem Anhang handelt es sich jedoch um Schadsoftware.

Anhänge oder Links in solchen E-Mails sollten auf keinen Fall geöffnet werden. Wenn der FRITZ!Box-Push-Service nicht genutzt wird, sollten solche E-Mails ignoriert werden. Wenn der FRITZ!Box-Push-Service genutzt wird, sollten die folgenden Schritte zur Verifikation der E-Mail durchgeführrt werden:

• Vergleich des Absenders der E-Mail mit dem eingerichteten Absender für den FRITZ!Box-Push-Service.
• Überprüfung, ob die in der E-Mail erwähnte Rufnummer einer in der FRITZ!Box eingerichteten eigenen Rufnummern entspricht.
• Überprüfung, dass der Anhang in der E-Mail die Dateiendung "wav" hat.

In den Medien wird aktuell über Schwachstellen in Routern mit Realtek System-on-Chip (SoCs) berichtet. FRITZ!-Produkte sind davon nicht betroffen.

In den Medien wird aktuell über die Router-Schwachstellen CVE 2021-20090, 2021-20091, 2021-20092 berichtet. FRITZ!-Produkte sind davon nicht betroffen. Die Schwachstellen kommen ausschließlich bei OEM-Geräten eines Herstellers zum Tragen, die hier gelistet sind.

Sicherheitsforscher haben heute auf die WLAN-Schwachstelle "FragAttacks" aufmerksam gemacht. Die Schwachstelle ist herstellerunabhängig und betrifft viele WLAN-Geräte wie Smartphones, Notebooks, Router oder Spielekonsolen. Eine unerlaubte Ausnutzung von FragAttacks ist nicht bekannt und könnte auch nur in der direkten räumlichen Nähe zum WLAN erfolgen. Die Sicherheit von Diensten wie Mail oder Apps, die eine Verschlüsselung mit TLS-Verfahren durchführen, oder von Internetverbindungen über HTTPS-Seiten ist von der Schwachstelle nicht beeinträchtigt. Praktische Auswirkungen von FragAttacks sind nach aktuellem Kenntnisstand unwahrscheinlich.

FRITZ! hat den Roll-out von Sicherheitsupdates gegen FragAttacks bereits letzte Woche gestartet. Für die FRITZ!Box 7590, 7530 AX, 7530, 7490, 6590 Cable, 6490 Cable, 5491 und 5490 steht ein Update bereit. Weitere Updates für aktuelle Produkte folgen zeitnah.

FRITZ! folgt der Empfehlung der Wi-Fi Alliance, die von den Herstellern angebotenen Updates für WLAN-Geräte wie Notebooks, WLAN-Lautsprecher und Smartphones durchzuführen.

Zurzeit wird über Zugriffsversuche auf FRITZ!Box-Produkte berichtet. Es handelt sich dabei um erfolglose Anmeldeversuche, also Rateversuche. Diese sogenannten "Credential Stuffing"-Versuche betreffen ständig viele Geräte, die im Internet unterwegs sind.

In unserer Wissensdatenbank sind weiterführende Informationen zu finden.

Grundsätzlich empfehlen wir die Hinweise für sichere Kennwörter zu beachten, die der Anwender beispielsweise auf der FRITZ!Box-Oberfläche erhält.

In der Software DNSmasq wurden Sicherheitslücken entdeckt, mit der DNS-Einträge manipuliert werden könnten. FRITZ!-Produkte sind nicht von der Sicherheitslücke betroffen.

Kürzlich wurden unter der Bezeichnung "Amnesia:33" eine Reihe von Sicherheitslücken im TCP/IP-Stack einiger vernetzter Geräte bekannt. FRITZ!-Produkte sind davon nicht betroffen.

Mit jedem neuen FRITZ!OS-Update aktualisieren wir auch die Sicherheitsfunktionen. Wir empfehlen daher grundsätzlich für alle Geräte, das jeweils aktuelle Update einzuspielen.

Zurzeit wird über eine Schwachstelle in WLAN- und Bluetooth-Chips mit dem Namen "Spectra" berichtet. FRITZ!-Produkte sind nicht von der Spectra-Schwachstelle betroffen.

Außerdem schreiben Medien aktuell über eine weitere WLAN-Schwachstelle namens "Kr00k" (CVE-2020-3702). Die weit verbreiteten FRITZ!Box-Modelle wie 7590, 7580, 7530, 6590 Cable, 6591 Cable und 6660 Cable u. a. sind grundsätzlich nicht von der Kr00k-Schwachstelle betroffen. Weitere FRITZ!-Produkte ab FRITZ!OS 7.20 ebenfalls nicht. Alle Produkte, bei denen das Merkmal PMF (Protected Management Frames) eingeschaltet ist, sind ebenfalls nicht betroffen. Auf der FRITZ!Box-Oberfläche unter "WLAN > Sicherheit > Weitere Sicherheitseinstellungen" lässt sich das PMF-Feature aktivieren. Wir schätzen die Praxisauswirkung der Schwachstelle – wie bereits im Februar bei Kr00k (CVE-2019-15126) – als gering ein. Der Großteil der Internetkommunikation ist verschlüsselt und ein Angreifer müsste beim Ausnutzen dieser Schwachstelle lokal vor Ort sein.

Derzeit wird unter dem Stichwort "CallStranger" darüber berichtet, dass Sicherheitsforscher eine Möglichkeit zur Traffic Amplification über das UPnP-Protokoll gefunden haben. Die FRITZ!Box ist nicht betroffen, da UPnP dort nicht aus dem Internet erreicht oder genutzt werden kann.

Aktuell wird über die WLAN-Schwachstelle Kr00K (CVE-2019-15126) berichtet. Betroffen sind nur Broadcom- und Cypress-Chipsätze. Beide kommen bei FRITZ!-Produkten nicht zum Einsatz. Ausnahme sind die Spezialmodelle FRITZ!Box 7581 und 7582 für Sonderanschlüsse wie g.fast oder Channelbonding. Wir haben für diese Modelle Updates auf FRITZ!OS 7.13 bereitgstellt, in denen die Kr00k-Schwachstelle behoben ist.

Grundsätzlich ist die Relevanz der Lücke in der Praxis sehr gering, da viele Voraussetzungen für einen erfolgreichen Angriff notwendig sind, beispielsweise die räumliche Nähe zum jeweiligen Gerät. Unabhängig davon sind Verschlüsselungen wie HTTPS grundsätzlich nicht betroffen, da sie auf einer höheren Ebene arbeiten.

Derzeit wird über die Schwachstelle CVE-2020-8597 im Projekt pppd berichtet. Wir nutzen dieses Softwareprojekt nicht. FRITZ!-Produkte sind daher nicht von der Schwachstelle betroffen.

Derzeit wird über eine Schwachstelle in Kabelmodems berichtet. FRITZ!Box-Produkte sind nicht von "Cable Haunt" betroffen. Der verwundbare Service existiert nicht in FRITZ!OS.

Aktuell wird über eine Schwäche der neuen WLAN-Verschlüsselung WPA3 für Geräte wie Smartphones, Tablets, Router etc. berichtet. Die FRITZ!Box ist von dieser Schwäche nicht betroffen. Der vor kurzem angekündigte FRITZ!Repeater 3000 ist das einzige FRITZ!-Produkt, das bereits WPA3 unterstützt. Der neue Standard WPA3 ist im Auslieferungszustand nicht aktiv.

Wir haben bereits ein Update für FRITZ!Repeater 3000 als Laborversion veröffentlicht, das die Punkte der aktuellen WPA3-Schwäche adressiert. Grundsätzlich empfehlen wir, immer ein starkes und langes WLAN-Kennwort zu wählen. Die Kennwortbewertung in FRITZ!OS hilft dabei, ein starkes Kennwort zu finden. Außerdem raten wir ausdrücklich dazu, für alle WLAN-Klienten wie Notebook, Smart-TV oder Tablets die von den Herstellern angebotenen Updates durchzuführen.

Im Hinblick auf den noch jungen und wenig verbreiteten WPA3-Standard werden die praktischen Auswirkungen der WPA3-Schwäche als gering eingestuft. Der aktuell gängige und von den meisten WLAN-Geräten verwendete Standard ist WPA2. Er hat sich beim Einsetzen von langen, starken Passwörtern seit Jahren bewährt.

Aktuell kursieren Phishing-Mails, die augenscheinlich im Namen des MyFRITZ!Net-Dienstes versendet werden. Die Mail verlinkt auf eine Webseite, in der die Anmeldeseite der FRITZ!Box nachgestellt ist.

Links in solchen E-Mails sollten auf keinen Fall geöffnet werden. Die Anmeldung sollte ausschließlich auf der Seite myfritz.net erfolgen. Die Echtheit der MyFRITZ!Net-Seite kann im Internetbrowser geprüft werden. Links in E-Mails, die wir an MyFRITZ!-Anwender versenden, zeigen ausschließlich auf myfritz.net, fritz.com oder avm.de.

Weitere Tipps sind im Artikel Tipps zum Umgang mit Phishing-E-Mails zu finden.

In den Medien wird aktuell eine neue Angriffsmöglichkeit auf den WPA2-Standard diskutiert. Wir sehen keine praktischen Auswirkungen dieser Methode auf FRITZ!Box, wenn der WPA-Schlüssel entsprechend komplex gewählt ist. Wir empfehlen den Einsatz von WLAN-Schlüsseln, die bei der Eingabe in FRITZ!Box als "gut" oder "stark" bewertet werden. Der ab Werk voreingestellte WLAN-Schlüssel ist aufgrund seiner Länge ebenfalls sicher.

In den Medien wird derzeit unter dem Stichwort "VPNFilter" über eine Schadsoftware berichtet, die auf Routern verschiedener Hersteller gefunden wurde. Uns liegen keine Hinweise vor, dass FRITZ!-Produkte betroffen sind.

Aktualisierung vom 17.01.2018

Wir sehen derzeit in den als "Spectre" und "Meltdown" bekannt gewordenen Sicherheitslücken bei Prozessoren keine neuen Angriffsmöglichkeiten auf das Sicherheitskonzept von FRITZ!-Produkten. Wir stehen weiter im Austausch mit den Herstellern der von uns verwendeten Chips.

Meldung vom 04.01.2018

Wir untersuchen die aktuell unter den Namen Spectre und Meltdown bekannt gewordenen Sicherheitslücken bei Prozessoren und steht dazu im Austausch mit den Herstellern der von uns verwendeten Chips. Derzeit sehen wir darin keine neuen Angriffsmöglichkeiten auf das Sicherheitskonzept von FRITZ!-Produkten.

Um die Schwachstellen auszunutzen, müsste ein Angreifer in der Lage sein, seine Anwendung auf dem FRITZ!-Produkt zur Ausführung zu bringen. Anders als bei Systemen mit offener Architektur und Zugang zum Betriebssystem ist es für unsere Produkte prinzipiell nicht vorgesehen, Anwendungen Dritter auszuführen.

Unter anderem auf golem.de wird über einer Sicherheitslücke in diversen TLS-Implementierungen (CVE-2017-1000385) berichtet. Die FRITZ!Box ist von der Lücke nicht betroffen.

Aktualisierung vom 10.11.2017

In seltenen Fällen wird ein Router so konfiguriert, dass er per WLAN-Uplink das Internet eines anderen Routers nutzt. Dazu haben wir für die FRITZ!Box 7590, 7580, 7560 und 7490 ebenfalls ein Update bereitgestellt.

Aktualisierung vom 26.10.2017

Wir haben für alle aktuellen FRITZ!Repeater und FRITZ!Powerline-Produkte mit WLAN ein Update bereitgestellt.

Aktualisierung vom 20.10.2017

Wir stellen erste Updates für FRITZ!Repeater und FRITZ!Powerline-Produkte mit WLAN bereit.

Aktualisierung vom 19.10.2017

Am 16. Oktober 2017 wurden mehrere WPA2-Schwächen bekannt. Nahezu alle der beschriebenen Angriffe richten sich gegen WLAN-Klienten. Für alle Angriffe ist eine räumliche Nähe zum angegriffenen WLAN notwendig.

Nicht betroffen sind FRITZ!-Produkte, die ausschließlich als WLAN Access Point betrieben werden, beispielsweise die FRITZ!Box am Breitbandanschluss (DSL, Kabel, WAN, etc.). FRITZ!-Produkte, die als WLAN-Klient betrieben werden, sind von einigen der beschriebenen Möglichkeiten betroffen.

Im Überblick:

• FRITZ!Box am Breitbandanschluss als WLAN Access Point (voreingestellte und übliche Betriebsart): kein Update erforderlich
• FRITZ!Box mit WLAN-Uplink zu einem anderen Router (abweichend von der Voreinstellung, selten genutzte Betriebsart): kommendes Update empfohlen
• FRITZ!Repeater als WLAN-Brücke (voreingestellte und übliche Betriebsart): kommendes Update empfohlen
• FRITZ!Repeater als LAN-Brücke, (abweichend von der Voreinstellung, selten genutzte Betriebsart): kein Update erforderlich
• FRITZ!Powerline mit WLAN als Powerline-Brücke (Powerline-Uplink) (voreingestellte und übliche Betriebsart): kein Update erforderlich
• FRITZ!Powerline mit WLAN als WLAN-Brücke (WLAN-Uplink) (abweichend von der Voreinstellung, selten genutzte Betriebsart): kommendes Update empfohlen

Die Sicherheit des WLAN-Heimnetzes hängt von der gesicherten Verbindung jedes einzelnen WLAN-Gerätes ab. Auf Basis der international genutzten CVSS-Einstufung wurde die WPA2-Schwäche mit dem Wert 5.4 (medium) eingestuft und gilt damit nicht als schweres Problem. Wir empfehlen ausdrücklich für alle WLAN-Klienten (bspw. Notebook oder Android-Smartphone) die von den Herstellern angebotenen Updates durchzuführen.

Aktualisierung vom 17.10.2017

WPA2-Lücke: FRITZ!Box am Breitbandanschluss ist sicher

Meldung vom 16.10.2017

Seit heute wird über eine Lücke im WPA2-Protokoll von WLAN berichtet. WPA ist relevant für alle WLAN-Produkte vom Smartphone über Router bis zur IP-Kamera. Angriffe sind nicht bekannt und könnten auch nur im direkten WLAN-Umfeld erfolgen. Für eine genauere Einschätzung müssen noch weitere Details bekannt werden. Unabhängig von Krack findet bei der Internetverbindung über HTTPS-Seiten (Onlinebanking, Google, Facebook etc.) eine sichere Verschlüsselung statt.

Falls notwendig werden wir wie gewohnt ein Update bereitstellen. Die Wi-Fi Alliance fasst die Situation in diesem Artikel zusammen.

In den Medien wird von mehreren Sicherheitslücken in der DNS-Server-Software Dnsmasq berichtet. Die FRITZ!Box ist nicht betroffen; die Software Dnsmasq wird nicht in FRITZ!OS genutzt.

Bei Geräten mit aktivierter IPv6-Verbindung ist es unter sehr unwahrscheinlichen Umständen bei längerem Besuch einer böswilligen Webseite möglich, dass Informationen von Heimnetz-Geräten (nur Gerätebezeichnung, Mac- und IP-Adresse) sichtbar sind. Ein Zugriff ist nicht möglich. Das Risiko ist gering (CVSS v3: 3,1, low). Der Punkt wird in kommenden Updates gelöst.

Unter anderem auf heise.de wird über einer Sicherheitslücke in Samba (CVE-2017-7494) berichtet. Die FRITZ!Box ist von der Lücke nicht betroffen.

Die aktuelle Version FRITZ!OS 6.83 verbessert eine Schwäche der älteren FRITZ!OS-Version 6.80/6.81. Unter bestimmten Voraussetzungen hätte es zum Neustart kommen können. Es ist kein Fall von Missbrauch bekannt. Die Version 6.80/6.81 wurde per Auto-Update bereits flächendeckend durch die Version 6.83 ersetzt.

In den Medien wird über einen weltweiten Hacker-Angriff auf Internet-Router berichtet. In Deutschland führte dies zu Ausfällen bei Speedport-Routern der Deutschen Telekom. Die FRITZ!Box ist nicht betroffen.

Im Rahmen eines Zertifikatswechsels verwenden wir seit 2015 neue, verbesserte Hersteller-Zertifikate. Ältere Zertifikate wurden im Zuge von Software-Updates der Kabelanbieter getauscht. Anwender müssen nichts machen. Missbrauch älterer Zertifikate ist nicht bekannt.

Die FRITZ!Box ist durch regelmäßige Sicherheitsupdates optimal geschützt. Im Falle von CVE-2016-5195 (Dirty Cow) sehen wir aktuell keine Auswirkungen auf das Sicherheitsniveau der FRITZ!Box-Firmware.

In den letzten Tagen kam es in einzelnen Fällen zu Telefonmissbrauch in Verbindung mit Routern. Bezüglich der FRITZ!Box ist dies nach aktuellem Stand nur mit selten genutzten Konfigurationen möglich und tritt größtenteils nur in Verbindung mit älteren FRITZ!OS-Versionen auf.

Wir erhöhen kontinuierlich die Leistungsmerkmale und den Sicherheitsstandard der FRITZ!Box und empfehlen daher grundsätzlich den Einsatz der jeweils neuesten Version, aktuell FRITZ!OS 6.50 oder höher. Auf der FRITZ!Box-Benutzeroberfläche lässt sich die verwendete Version überprüfen und ein Update ausführen.

Weitere Tipps zur Sicherheit sind im Artikel FRITZ!Box absichern zu finden.

Das in der FRITZ!Box enthaltene aktuelle SSL/TLS-Implement ist nicht betroffen. Bis vor kurzem kam nur bei einem extern gehosteten Server, der für eine wenig genutzte Subdomain unserer Internetseite zuständig war, SSLv2 zum Einsatz. Der Punkt ist nach der Veröffentlichung der DROWN-Möglichkeit noch am selben Tag behoben worden.

Unter anderem auf heise.de wird von einer Sicherheitslücke in Linux-Netzwerkfunktionen mittels der Bibliothek glibc berichtet. Die FRITZ!Box ist nicht betroffen; glibc wird in FRITZ!OS nicht genutzt.

In den Medien (u.a. auf spiegel.de) wird aktuell über eine Sicherheitslücke bei Routern für den Kabelanschluss berichtet. Anwender werden aufgerufen, voreingestellte WLAN-Passwörter zu ändern. FRITZ!Box Besitzer müssen nicht aktiv werden. Alle FRITZ!Box-Modelle sind ab Werk mit einem individuellen, nach Zufallsprinzip erstellten WLAN-Schlüssel geschützt. Es ist daher nicht möglich, aus der Seriennummer oder anderen gerätespezifischen Merkmalen den WLAN-Schlüssel einer FRITZ!Box zu ermitteln.

Unter anderem heise.de und sueddeutsche.de berichten aktuell von einer Sicherheitslücke sowohl in der Infrastruktur im Kabelnetz als auch im Kabelmodem. Dadurch war es möglich, Profile und Passwörter von Modems anderer Kunden herunterzuladen.

Die FRITZ!Box ist von dieser Sicherheitslücke nicht betroffen.

Nach Aussagen von Vodafone/Kabel Deutschland wurde die Sicherheitslücke durch das Einspielen von Schutzfiltern Mitte Dezember beseitigt.

In aktuellen Medienberichten, unter anderem auf golem.de und heise.de, wird über einen verwundbaren Dienst berichtet, über den beliebiger Code auf dem Router ausgeführt werden kann. Es handelt sich um die Funktion USB Over IP, über die Router zum Beispiel auf USB-Drucker im lokalen Netzwerk zugreifen. Der betreffende Treiber heißt NetUSB.

Die FRITZ!Box ist nicht von der ausgenutzten Schwachstelle betroffen, der Treiber NetUSB wird in keinem Fall verwendet.

FRITZ!Box-Produkte, Hard- und Software, sind Eigenentwicklungen von FRITZ!. Regelmäßige kostenfreie Updates des Betriebssystems FRITZ!OS gewährleisten technische Aktualität und sind Teil des FRITZ!Box-Konzeptes.

Auf dem kürzlich stattgefundenen 31. Chaos Communication Congress wurde bekannt, dass der HTTP-Server-Rompager mehrere Sicherheitslücken aufweist. FRITZ!-Produkte sind davon nicht betroffen.