FritzBox 7170 SL - kein aktuelles Sicherheitsupdate?

[KlackKlack]

Hallo,

ich habe eine Fritzbox 7170 SL. Leider kann ich kein Sicherheitsupdate durchführen, da der Router meldet, ich hätte die aktuelleste Version: 29.04.80.

Aber die Firmware ist von 2011. Für das Modell ohne SL gibt es eine aktuelle Firmware: FRITZ.Box_Fon_WLAN_7170.29.04.88

Allerdings kann ich diese nicht manuell einspielen, da das Updateprogramm meint, die Firmware sei für meine Box ungeeignet.

Hatte jemand dasselbe Problem? Ich schreibe sonst AVM eine Nachricht. Nach dem neuesten Meldungen, fühle ich mich nicht mehr sicher, da angeblich ein Fernzugriff möglich sei, ohne dass der Fernzugriff aktiviert ist.

Gruß
KlackKlack

 

[AdoK]

Für die 7170 SL gibt es auch noch kein Update siehe http://www.avm.de/de/frame/frame.ph...&product=FRITZ!Box+Fon+WLAN+7170+SL&category=

 

[Gewürzwiesel]

Am Besten wäre es wohl, wenn du dich direkt an AVM wendest... Nachdem was man so liest würde ich mich ebenfalls unwohl fühlen: http://www.heise.de/newsticker/meld...-AVM-Router-auch-ohne-Fernzugang-2115745.html

 

[Trefoil80]

Sollte es kein Update geben, würde ich die Box ausrangieren...

 

[KlackKlack]

Ja, natürlich rangiere ich die Box dann aus. Allerdings wär ein Update natürlich netter. Hab AVM mal angeschrieben.

 

[evilbaschdi]

AVM hatte vor zwei Wochenenden echt draufgehauen und einiges an Firmwares rausgeworfen. Wenn jetzt also noch nichts da ist, kommt wohl auch nichts mehr.
Finde es aber schon eigenartig, dass für die 7170 ein Firmwarupdate verfügbar ist, aber nicht für die SL.

 

[KlackKlack]

Vielleicht haben sie ja mit mir Erbarmen

 

[evilbaschdi]

grad gesehen, die Firmware hat sogar den gleichen Versionsstamm, nur eben der Unterschied 80 / 88, man könnte ja mal...

 

[KlackKlack]

Mag mir jemand - eher aus allgemeinen Interesse - mal die Schwachstelle erklären?

Heise beschreibt eine Internetseite, die die Routerdaten abfängt.
Müsste der Angreifer danach aber nicht "vor Ort" sein? Also zu meiner Wohnung kommen und sich dort ins WLAN einloggen? Oder ist ein Angriff über das Internet denkbar selbst wenn Fernzugriff etc gesperrt ist?

Ich werde mir wohl einen neuen Router zulegen. Aber mich interessiert, wie realistisch ein solcher Angriff ist. Wenn ein Angreifer physisch vor Ort sein muss, halte ich es eher für unwahrscheinlich(er).

Ergänzung (18. Februar 2014)

Update: hier die Antwort von AVM. Ich habe übrigens mittlerweile den Router getauscht.

"Generell können wir derzeit ein widerrechtliches Eindringen über Port 443 in ein älteres FRITZ!Box-Modell noch nicht ausschließen. Allerdings sind uns bisher auch noch keine Fälle bekannt, bei denen Ihr FRITZ!Box-Modell betroffen war.

Dennoch empfehlen wir auch Nutzern dieser Gerätegeneration, den HTTPS-Fernzugriff zu deaktivieren und die weiteren Sicherheitsmaßnahmen umzusetzen. Detaillierte Informationen dazu finden Sie auf unserer
Sicherheitsseite: http://www.avm.de/de/Sicherheit/hinweis.html

Die Beschreibungen auf der Sicherheitsseite beziehen sich auf Firmware-Versionen ab FRITZ!OS 5.50.
In älteren Firmware-Versionen können Sie die HTTPS-Fernwartung in der FRITZ!Box-Benutzeroberfläche unter "Internet > Freigaben > Fernwartung" deaktivieren.
Auf FRITZ!Box-Geräten mit einer Firmware-Version kleiner xx.04.55 steht die HTTPS-Fernwartung nicht zur Verfügung, d.h.
diese können von den Angriffen nicht betroffen sein.

Ob und wann auch für Ihr FRITZ!Box-Modell ein Update zur Verfügung gestellt wird, können wir derzeit noch nicht abschätzen. Über Neuigkeiten werden wir tagesaktuell auf www.avm.de informieren."

 

[Gewürzwiesel]

Mir ist das ganze auch nicht ganz klar... Der Fernzugriff ist natürlich kritisch aber wie sieht es mit der Geschichte der Webseiten aus? ...Bei Heise heißt es u.A. in der Überschrift: "Hack gegen AVM-Router auch ohne Fernzugang" Daher bringt dir die Mail überhaupt nichts... Hast du deswegen nochmal genauer nachgefragt?

Bzw. hier auf ZD:
http://www.zdnet.de/88184537/avms-fritzbox-router-auch-ohne-aktivierten-fernzugriff-angreifbar/

 

[KlackKlack]

Gerade wegen dieser Unsicherheit habe ich den Router getauscht (jetzt habe ich einen anderen Hersteller). Ich wollte die Mail nur für Interessierte posten und vielleicht gibt es ja noch mehr User mit dem 7170 SL.