Fritz!Box Sicherheitslücke betrifft nicht nur den Fernzugang

17. Februar 2014 Kategorie: Backup & Security, Internet, geschrieben von:

AVM schwieg sich bisher über konkrete Details zu der Sicherheitslücke aus, von der nahezu alle Router-Modelle des Herstellers betroffen waren. Heise Security macht nun darauf aufmerksam, dass die Angriffe keineswegs nur über die Fernsteuerfunktion der Router möglich ist. Die Lücke lässt sich ebenso ohne die Fernsteuerfunktion ausnutzen, was sie um einiges gefährlicher macht. Es genügt bereits eine Webseite mit Schadcode aufzurufen, um die Kontrolle über den Router anderen zu überlassen. Diese können dann beliebige Befehle mit Root-Rechten ausführen.

AVM_FRITZBox_7490_Heimnetz

In einer Proof-of-Concept-Demo konnte Heise Security die Konfigurationsdatei des Routers auf einen externen Server kopieren. Diese Datei enthält neben dem Administrations-Passwort der Fritzbox auch viele andere sensible Daten im Klartext, etwa die DSL- und DynDNS-Zugangsdaten. Echten Angreifern stehen somit alle Türen offen, um den Router für sich auszunutzen. Sei es das abfangen von Login-Daten durch Überwachung des Traffics oder auch die Anwahl kostenpflichtiger Rufnummern, die für den Nutzer einen größeren finanziellen Schaden bedeuten können.

Deshalb auch noch einmal der Appell an alle Nutzer einer Fritz!Box, die Firmware auf den aktuellsten Stand zu bringen. Wie das BSI neulich erklärte, wurden die Updates erst von wenigen Nutzern durchgeführt. Die Router von AVM sind sehr weit verbreitet, die Zahl der potentiellen Opfer dementsprechend groß. Updates kommen bequem über den Aktualisierungs-Assistenten, sodass auch Nutzer ohne große Vorkenntnisse das Update einspielen können.

Eine Liste, die Auskunft über betroffene Modelle gibt und den Status des Sicherheitsupdates anzeigt, findet Ihr hier. (Danke, @ICH)


Du entscheidest mit! Wir suchen das Smartphone des Jahres 2017! Jetzt abstimmen!

 

Über den Autor:

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Sascha hat bereits 9391 Artikel geschrieben.