Fritzbox 7270 v3 noch sicher?

lXPkX

Neuer User
Mitglied seit
19 Okt 2020
Beiträge
1
Punkte für Reaktionen
0
Punkte
1
Hallo!

Bei mir tut seit acht Jahren eine Fritzbox 7270 v3 ihren Dienst. Durch einen anderen Beitrag (https://www.ip-phone-forum.de/threa...h-sicher-als-wlan-repeater-verwendbar.300789/) wurde ich darauf aufmerksam, daß die 7270, zumindest wenn es um WLAN geht, ein Sicherheitsrisiko darstellen könnte.

Ich finde die 7270 deswegen so interessant, weil sie wegen VOIP, ISDN und Fax-Ünterstützung zumindest in der heutigen Landschaft ohnegleichen ist. Der Plan wäre die 7270 über einen Powerline Adapter mit einem Modem zu verbinden und im Arbeitszimmer das Laptop (via LAN - die WLAN-Funktion wäre deaktiviert), Drucker und das ISDN-Telefon an die Fritzbox anzuschließen, jedoch stellt sich die Frage ob dies noch zu verantworten ist?
 

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
13,411
Punkte für Reaktionen
1,129
Punkte
113
Tja ... das ist etwas schwierig zu beantworten. Dafür müßte man (a) genau wissen, wo sich welche Löcher in der Firmware befanden, die mittlerweile von AVM gefixt wurden und (b) prüfen, ob Du einen von einem solchen Problem betroffenen Teil der Firmware in Deinem Szenario verwendest.

Es ist mittlerweile so lange her und anhand der AVM-Änderungen auch für jeden nachvollziehbar, daß ich mal etwas aus dem Nähkästchen plaudern will (wenn auch ohne konkrete "Anleitungen", wie man das ausnutzen kann und wieso) ... ich kenne (neben den Lücken, die ich irgendwann "öffentlich" beschrieben habe) noch mindestens zwei weitere, über die man in der FRITZ!Box Kommandos ausführen konnte und über die AVM m.W. nie richtig/ausführlich/überhaupt informiert hat.

Eine davon befand sich in der Verarbeitung von Bilddateien durch das FRITZ!OS (für alle möglichen Zwecke, iirc auch für ein Online-Telefonbuch mit Anruferbildern) - hier konnte man mit einer passend manipulierten Datei beliebige Kommandos (die in der Firmware enthalten waren - das versteht sich ja von selbst) ausführen lassen - damit sollte besser schon mal die Nutzung eines Google-Telefonbuchs (wenn ich mich richtig erinnere, gab's das da schon) nicht auf dem Plan stehen und letztlich all das, wo die betroffene Datei (mit der Lücke) dann aufgerufen wurde. Das wurde (wieder aus dem Gedächtnis, also kann das auch falsch sein, aber in der 06.06 ist es definitiv noch enthalten, wie ich gerade geprüft habe) zur 06.30 hin gefixt.

Ein weiteres Problem gab es (vermutlich bis zur 06.50, auch da müßte ich erst genau nachsehen) beim Schreiben auf den Online-Speicher ... hier konnte man mit einem manipulierten Dateinamen und einer provozierten Fehlermeldung ebenfalls ein eigenes Kommando zur Ausführung bringen.

Wenn ich noch eine Weile nachdenke, fällt mir bestimmt noch die eine oder andere Lücke in der 06.0x ein (ich habe erst später mit - mehr oder weniger - systematischen Aufzeichnungen dazu begonnen) - am anstrengendsten wäre da der Abgleich, ab wann die gefixt wurden und ob AVM die jemals irgendwo in den "Changelogs" erwähnt hat oder nicht. Und das sind dann auch nur die Lücken, die ich selbst kenne ... da gibt es definitiv noch viele weitere, von denen ich keinen Schimmer hatte und wo man das auch - mangels Auskünften von AVM - nur ganz schlecht recherchieren kann. Die einzigen Anhaltspunkte (für Probleme, die man nicht selbst gemeldet hat) sind geänderte Dateien und/oder OpenSource-Pakete an den Stellen, wo AVM die nach den Lizenzbedingungen veröffentlichen muß (wie z.B. beim "davfs2", was ja für den Online-Speicher verwendet wird).

Daher würde ich solche Fragen generell mit "Nein, ist nicht länger sicher, sollte man mit FRITZ!OS nicht länger betreiben." beantworten ... für eine (verantwortungsvolle) Einschätzung, ob ein "use case" die Benutzung eines Features mit einem Problem beinhaltet, fehlen einfach die belastbaren Informationen.

Zwar waren viele Angriffe auch nur aus dem LAN möglich, aber es gab auch noch genug andere (auch "RedTeam" hat mehrmals entsprechende Funde veröffentlicht - das heute war nicht der erste) und manch einer davon funktioniert sicherlich auch "von außen", wobei eben nicht immer die direkte Erreichbarkeit der betroffenen Box Voraussetzung für einen Angriff ist, wie der Fall mit der manipulierten Bilddatei (die vom FRITZ!OS vollkommen freiwillig geladen wird/wurde) zeigt.

Abgesehen davon gibt es neben den "silently fixed threats" auch noch viele andere, zu denen AVM zwar auch keine Details, aber wenigstens "grobe Anhaltspunkte" veröffentlicht hat ... nur nutzen einem diese (auch eher pauschalen) Informationen eben auch nichts, wenn man nicht davon ausgehen kann, daß das tatsächlich alle AVM bekannten und mittlerweile gefixten Lücken sind - abgesehen davon, daß auch AVM ja erst spät mit diesen "Sicherheitshinweisen" losgelegt hat.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: NDiIPP

RealHendrik

Aktives Mitglied
Mitglied seit
23 Sep 2005
Beiträge
1,601
Punkte für Reaktionen
74
Punkte
48
Ich finde die 7270 deswegen so interessant, weil sie wegen VOIP, ISDN und Fax-Ünterstützung zumindest in der heutigen Landschaft ohnegleichen ist.
Ohnegleichen? Es gab einen Nachfolger 7272 mit etwa vergleichbarer Ausstattung, der noch vor gut einem Jahr ein Update bekommen hat und damit halbwegs aktuell ist - auch unter Sicherheitsaspekten. Dann gab es noch die 7390 und die 7490, die noch einiges mehr zu bieten haben als die 7270. Und letztere bekam vor wenigen Wochen noch eine ganz aktuelle Firmware. Und dann ist da auch noch die 7580, die 7590, die 7583...
 
Zuletzt bearbeitet:

wutz65

Mitglied
Mitglied seit
21 Jun 2008
Beiträge
331
Punkte für Reaktionen
17
Punkte
18
Sind die Probleme mit der 7270 auch entscheidend wenn die Box hinter einem VDSL-Router als IP-Client betrieben wird?
Angriffe aus dem eigenen Netz oder über WLAN ohne den Zugangscode zu kennen sollte man vernachlässigen können.
 

NDiIPP

IPPF-Promi
Mitglied seit
13 Apr 2017
Beiträge
3,731
Punkte für Reaktionen
680
Punkte
113
Sind die Probleme mit der 7270 auch entscheidend wenn die Box hinter einem VDSL-Router als IP-Client betrieben wird?
Kommt darauf an. Als (Border)-Router würde ich sie jedenfalls ungern einsetzen. Hoffentlich hat(te) der TO es nicht wirklich so vor wie er es beschrieben hatte:
Der Plan wäre die 7270 über einen Powerline Adapter mit einem Modem zu verbinden
Denn dann wäre die 7270 ja weiterhin der "Border-Router". Man sollte die 7270 besser hinter einem Modem-Router oder IAD betreiben und nicht hinter einem (reinen) Modem.

BTW:
Angriffe aus dem eigenen Netz oder über WLAN ohne den Zugangscode zu kennen sollte man vernachlässigen können.
Das perfide an Sicherheitslücken ist ja gerade, dass man ggf. den Zugangscode nicht benötigt um einzudringen. Und ob man Angriffe aus dem eigenen (W)LAN vernachlässigen kann, kommt ggf. darauf an. Ich würde so etwas heute nicht mehr pauschal ausschließen wollen bei der mittlerweile üblichen Anzahl an Geräten, die man heute im (W)LAN hat. Ein "Zombie" bzw. kompromittiertes Gerät im eigenen Netz würde schon reichen. Nichtsdestotrotz könnte man sich ggf. dennoch überlegen, eine solch (ältere) Box als VoIP-ATA/Gateway noch zu verwenden.
 

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
12,765
Punkte für Reaktionen
366
Punkte
83
Moinsen


LAN ist nicht sicher, wenn irgendwelche Geräte Internetzugriff darüber bekommen, was der Normalfall ist.

Beispiel
Legal...
"Der Bundestrojaner braucht nichts zu entschlüsseln, wenn er im LAN ist, wo schon entschlüsselt wurde."
Ilegal...
"Das Werbebildchen, welches in Wirklichkeit JavaScript ist, spät das Heimnetz ( LAN ) aus."
^-> Nennt sich: XSS oder CrossSiteScripting
 

wutz65

Mitglied
Mitglied seit
21 Jun 2008
Beiträge
331
Punkte für Reaktionen
17
Punkte
18
Da nützt aber die aktuellste Firmware am Router auch nichts.

DSL-Kabel raus, Smartphone aus,...
 

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
12,765
Punkte für Reaktionen
366
Punkte
83
Doppel NAT für bessere Internetzugriffskontrolle ( Internetsperre im 2. NAT = Internet und 1. NAT LAN Sperre )
Bildschirmfoto vom 2020-10-20 16-07-40.png<--<< Filternden Proxy, der keine Zugriffe auf sicherheitsrelevante Hardware ( Router, Mediacenter, etc ) ermöglicht.
...dann braucht es kein Kabelziehen oder Smartfon aus.
 

Peter_Lehmann

Mitglied
Mitglied seit
13 Mrz 2007
Beiträge
216
Punkte für Reaktionen
49
Punkte
28

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
12,765
Punkte für Reaktionen
366
Punkte
83
Ach ich vergass...
Bildschirmfoto vom 2020-10-20 16-38-39.png
UEFI Boot eines KNOPPIX 8.6 auf USB-Speicher hinterlässt keine Spuren auf vorinstallierten W10 auf Klapprechner.
 

NDiIPP

IPPF-Promi
Mitglied seit
13 Apr 2017
Beiträge
3,731
Punkte für Reaktionen
680
Punkte
113
Dann können wir uns weiter über die Sicherheit unserer Gerätschaften unerhalten.
Die Diskussion muss leider fortgesetzt werden, ohne dass ich diesen Artikel lesen konnte. Denn ich bin leider nicht am "Act2Access" von Golem vorbeigekommen.

Ich bin mir übrigens auch ziemlich sicher, dass es nicht nur "Staatstrojaner" gibt.
 

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
12,765
Punkte für Reaktionen
366
Punkte
83
Ich auch nicht, aber die 2-3cm Oben konnte ich ( mit Desktop Webbrowser )...
Bildschirmfoto vom 2020-10-20 17-22-05.png
...dann doch noch zum Durchgucken nutzen :cool:
 

fda89

Mitglied
Mitglied seit
31 Aug 2020
Beiträge
349
Punkte für Reaktionen
51
Punkte
28
Von dem Gesichtspunkt gesehen sind alte Geräte sicherer ... weil diese nicht mehr so sehr verbreitet sind
 

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
12,765
Punkte für Reaktionen
366
Punkte
83
Genau, Amiga 600HD mit 20MB Festplatte und Workbench 2.05.
Da sind selbst meine gesammelten Bootblock und Diskvalidator Viren ( In leeren 2l Milchtetrapacks :) ) machtlos.
 

sfritz

Neuer User
Mitglied seit
27 Mrz 2019
Beiträge
45
Punkte für Reaktionen
4
Punkte
8
also zusammengefasst, wenn man die 7270 v3 weiterverwenden möchte:

- Nur als Modem
- WLAN sollte nicht genutzt werden (KRACK)
- NAS (insbesondere SMB), Online-Speicher, Telefonbücher mit Bilder, Webinterface von der Ferne haben bekannte Lücken und sollten nicht mehr genutzt werden. Wenn mögliche diese am besten direkt mit freetz mit "Remove Patches" entfernen lassen
- Das Webinterface meiden (vielleicht lässt der Dienst mit freetz ein/ausschalten)

Wie schaut es mit VPN aus? Soweit ich weiß, wird erst ab 6.93 bessere Ciphen eingesetzt, davor wird noch SHA1 genutzt. Da bei VPN vorausgesetzt wird, dass die Fritzbox im WAN-Modus sein muss, macht es evtl. nur bei einem doppelten NAT Sinn.
 

fda89

Mitglied
Mitglied seit
31 Aug 2020
Beiträge
349
Punkte für Reaktionen
51
Punkte
28
Für VPN: Mach dir freetz drauf, damit hast du ein aktuelle openvpn.
Auf der alten Hardware wird das aber nicht schnell sein
 

sonyKatze

Aktives Mitglied
Mitglied seit
6 Aug 2009
Beiträge
1,728
Punkte für Reaktionen
155
Punkte
63
Wegen der Frage zum Sicherheitsrisiko und welche Modelle, siehe jenen Post …
weil sie wegen VOIP, ISDN und Fax-Ünterstützung zumindest in der heutigen Landschaft ohnegleichen ist
Ja, wäre interessant, wenn Du das ausführen könntest. Abgesehen von den bereits erwähnten FRITZ!Box 7390, FRITZ!Box 7490 und FRITZ!Box 7590 … auch andere Hersteller haben noch VoIP-ISDN Übergangsboxen im Angebot, die noch immer unterstützt werden. Und in eBay gebraucht keine 70 € kosten: Lancom 1781VA mit All-IP Option, Telekom Speedport W 921V, Telekom Digitalisierungsbox BASIC, …
Daher anders herum: Ist Dir Deine (Daten-) Sicherheit weniger als das wert?
 

Peter_Lehmann

Mitglied
Mitglied seit
13 Mrz 2007
Beiträge
216
Punkte für Reaktionen
49
Punkte
28
Vermutlich, weil Wireguard für viele noch immer "Neuland" ist?
 

NDiIPP

IPPF-Promi
Mitglied seit
13 Apr 2017
Beiträge
3,731
Punkte für Reaktionen
680
Punkte
113
Vermutlich, weil der verwendete Linux-Kernel bei der 7270v1/2/3 schlicht zu alt ist für Wireguard?