Moinsen,
ohne jetzt hier der IT Sicherheitsexperte (oder -beauftragte) zu sein
, ich denke, dass die Kernaussage doch hier steckt:
es ist ein Zugang auf das potentiell gefährdete Gerät nötig zum Ausnutzen der Lücken(oder hab ich was überlesen??).
Und damit gelten eigentlich vor allem die Tipps, die schon vor Bekanntwerden der aktuellen "Lücken" gegolten haben:
- überlegen, ob ein Zugriff von extern direkt auf das Gerät wirklich (wirklich?!?) sein muss! Sonst eben Deaktivierung von direkter Erreichbarkeit (ssh, http(s), Anlegen von drölfzehn Portfreigaben) und damit wäre schon mal viel gewonnen...
- das ist für die Anwendungen im geschäftlichen natürlich recht doof, für das rein private Heimnetz aber IMHO durchaus ohne wesentliche Komfortverluste zu erreichen.
- die (wenn wirklich unabdingbar benötigten) Zugänge mit starken Verfahren absichern. Nicht immer und jederzeit mit Adminrechten anmelden, Userkonten einrichten (und nutzen). Ja, wenn ein Zugang da und kompromittiert, dann können root-rechte erworben werden. Es ist aber eine zumindest kleine Hürde...
- aktuell auf IPsec VPN vielleicht eher verzichten und (ggf. nur vorübergehend) andere VPN Varianten nutzen (da ja eines der angreifbaren Module eben ESP ist)
Also: ich will da nix klein reden...das ist doof und Mist und die Tatsache, dass der Grundstein der Lücken schon grob 9 Jahre alt ist...ich sag's ja immer: Liebe Herstellerfirmen...bitte nicht bei jedem Update 15 neue Funktionen, sondern lieber mehr Augenmerk auf die Qualität (und eben Sicherheit) der wirklichen notwendigen Module, Inhalte...
Für den reinen Heimgebrauch sind aber die Auswirkungen (bei allem Ernst der Lage) sicher anders gelagert, als wenn Dienste / Server DIREKT erreichbar im Netz stehen müssen (professionelle Dienstleister). Daher betrachte ich die Entwicklung natürlich weiter interessiert und aufmerksam, spiele Updates idR auch nach kurzer Zeit ein...fühle mich jetzt aber nicht direkt in Angst und Schrecken versetzt. Hier ist die Fritzbox als Internetrouter nicht erreichbar von außen, dahinter sitzt die pfsense, die alles von außen (also auch die Fritzbox und deren Netzwerk) blockt (bis auf den Zugang auf die nicht-IPsec VPN-Server). Die pfsense selber ist BTW von den hier besprochenen Lücken nicht betroffen...ich habe nix direkt nach außen erreichbar freigegeben. Alle virtuellen Anwendungen (docker, VMs) sind ebenfalls nur intern (oder eben via VPN) erreichbar.
Restrisiko ist immer, aber auf dem Silbertablett muss ja auch nicht serviert werden...
jm2c
