Betroffen? FRITZ!Box mit Mini-Sicherheitslücke
von caschy | 6 Kommentare
Da ich weiss, dass hier ganz viele eine FRITZ!Box mit aktiviertem Mediaserver nutzen, dachte ich mir, dass ich hier mal den Sicherheitshinweis von heise Security weitergebe. Wie die Sicherheitslücke ausnutzen lässt, geht aus dem Artikel bei heise nicht hervor, außerdem handelt es sich um eine „Sicherheitslücke“, für den der Angreifer erst einmal in euer internes WLAN kommen müsste.
Ich schwäche das Ganze sogar einmal noch ab: heise berichtet, dass ein Angreifer unter Umständen bei aktiviertem Mediaserver gewissen Daten – wie zum Beispiel das WLAN-Passwort – auslesen kann. Sofern man im Netz ist, kann man das eh unter Windows und Mac OS X ganz einfach auslesen. Bei OS X ist es der Schlüsselbund, unter Windows kann man mit Wireless KeyView das WLAN Passwort auslesen.
Der Mediaserver der FRITZ!Box ist also der Schuldige, da er per UPnP Musik, Videos und Co ins Netzwerk streamt. Je nach Modell werden Konfigurationsdateien mit „veröffentlicht“ die je nach Modell eben Passwörter enthalten.
Abhilfe? Ganz klar: Medienserver deaktivieren oder den internen Speicher abschalten und nur noch Ordner des angeschlossenen USB-Geräts mit Mediendateien freigeben. Löblich: heise hat AVM informiert, welche daraufhin bereits ein Beta-Update für die Modelle 7390 und 7270 veröffentlichten.
Das Ende vom Lied? Nicht zu vergleichen mit den dicken Sicherheitslücken des Telekom Speedport-Routers.
Wird geladen ...
[…]Angreifer erst einmal in euer internes WLAN kommen müsste[…]
Es muss nicht zwingend der WLAN-Zugang sein … heise spricht vom internen Netzwerk 😉
Man kann auch mit Windows(7)-Boardmitteln das WLAN-PAsswort anzeigen. Und wenn schon Jemand im WLAN ist oder gar physikalischen Zugriff hat, ist sowieso schon alles zu spät.
Ist also wie die Sicherheitslücken in PKWs, die sich einfach wegfahren lassen, wenn man den Schlüssel hat? …. Aber gab ja mal Beta-Phasen mit Zahlencodes zum Eingeben, haben sich nur irgendwie nicht durchgesetzt *gggg*
Was dieSchwachstelle betrifft, funktioniert nur aus dem eigenen LAN und betrifft nicht nur den WPA2-Key. Das war nur ein Beispiel!
Sehr erfreut bin ihc über die Reaktionszeit von AVM exakt 6 Tage abzüglich 3 Tage (Feiertag und Wochenende) und eigentlich müßte man noch ein Tag abziehen denn sie haben erst nach Feierabend von der Lücke erfahren!
Naja fast schon harmlos 😉 Ich bin noch Besitzer einer 7270 der ersten Version und da ist leider das traurige das es keine Firmware Updates mehr gibt 🙁 Dien 2er und 3er Modellen der Serie wird das Update angeboten, doch beim Kauf ist es unschlüssig welche Version da im Laden steht und so kannst auch du zu einer angestaubten Box kommen 🙁