FRITZ!Box: Sicherheitslücke soll sich bei deaktiviertem Fernzugriff ausnutzen lassen können
von caschy | 23 Kommentare
Vermutlich haben es zahlreiche unserer Leser mitbekommen: Die Router von AVM haben fast durch die Bank ein Sicherheits-Update auf Version 7.57 von FRITZ!OS erhalten. Während AVM selbst bislang zur Sicherheitslücke schweigt, schwappten schon vor längerer Zeit Informationen zur Lücke rüber.
Angreifern soll es möglich gewesen sein, auf FRITZ!Boxen zuzugreifen und die Konfiguration auf dieser zu ändern. Bei heise.de hat sich jemand gefunden, der die aktuelle FRITZ!OS-Version mit einer anfälligen verglichen hat. Heise nennt nicht alle Details zur Lücke, doch was man mitteilt, reicht eigentlich, um die Schwere zu verstehen.
- MIT DER POWER DES M2 – Mit dem Chip der nächsten Generation kannst du in weniger Zeit mehr schaffen. Von aufwendigen Präsentationen bis...
- ANSCHLÜSSE FÜR ALLES, WAS DU WILLST – Der Mac mini mit M2 Chip hat zwei Thunderbolt 4 Anschlüsse, zwei USB-A Anschlüsse, einen HDMI...
Es wurde festgestellt, dass die Updates tatsächlich eine Schwachstelle im Webserver schließen, die es Angreifern ermöglicht, die Konfiguration der Fritz!Box zu überschreiben. Die Schwachstelle betrifft nicht nur die Fritz!Box, sondern auch Repeater. Eine wichtige Erkenntnis ist, dass die Schwachstelle auch dann ausgenutzt werden kann, wenn der Fernzugriff auf das Webinterface deaktiviert ist.
Ein Angreifer kann sein Opfer einfach auf eine Website lenken, die auf das interne Netzwerk-Webinterface verweist, zum Beispiel durch Cross-Site-Request-Forgery (CSRF) oder Umleitungen. Das Abschalten des Onlinezugriffs auf das Webinterface oder die Verwendung eines komplexen Passworts bietet keinen Schutz vor solchen Angriffen, da kein Passwort benötigt wird.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Das hört sich ja richtig fies an.
Das ist in der Tat ein wirklich schwerwiegender Bug.
Dann müssten doch auch alle Repeater eine neue Version bekommen? Insbesondere der DVB-C hat von AVM keine Liebe mehr bekommen und wurde auch ohne Nachfolger eingestellt. Schade, nicht jeder hat Kabel und kann so die Box nutzen.
Also mein Repeater DVB-C hat letzte Wocheein Update automatisch bekommen.
Top!
@snake: vorher informieren. Auch die Repeater inkl. DVB-C Receiver haben ebenso ein Update erhalten.
Hallo Snake,
für den FRITZ!WLAN Repeater DVB-C gab es am 20.09.2023 ein Sicherheits-Update auf FRITZ!OS 7.03.
Und genau das ist bereits passiert! Für Alle von der Lücke betroffenen Geräte steht laut AVM mittlerweile ein Update zur Verfügung. Auch für den „ollen“ DVB-C Repeater…
Der Fritz Repeater N/G hat leider auch kein Update bekommen… wohl zu alt…
selbst die 7390 und die 7272 haben das Update bekommen
Der Repeater von 2009, mit UKW-Sender? Der dürfte in der Tat zu alt sein…..
Man kann ohne Password die Konfiguration ändern? Das alleine wäre ja schon ein ziemlicher Bug, auch ohne den CSRF-Angriff!
mmh Nö! Einstellungssache, also ich muss bei Konfigrationsänderungen das Ganze am DECT Telefon noch bestätigen, damit die Änderungen übernommen werden.
Hab seit Jahren 5 aktive FB in meinem Bestand; bei mir „fummelte“ jedenfalls niemand im Interface herum.
Wenn AVM jetzt noch einige andere ältere Repeater als die bisherigen updaten könnte…
Letztendlich finde ich das Updateverhalten und die Pflege, auch älterer Geräte, durch AVM immer krass vorbildlich.
Lustig: MyFritz app zeigt für meine 7530 AX die Version v7.56 an. Installiert ist aber v7.57 laut Fritzbox
Stimmt, ist aber nur ein kosmetischer Fehler.
Der einfachste Zugriff wäre fritz.box bzw. 192.168.178.1. Sollte es dann nicht genügen, die IP-Adresse der Fritz!Box zu ändern und für die Namensauflösung entweder einen externen DNS-Server oder bspw. einen Pihole einzusetzen, der eben fritz.box nicht auflösen kann?
Keine Ahnung, ob man die Notfall-IP http://169.254.1.1/ überhaupt deaktivieren kann, das ist ja der Witz hinter der Notfall-IP.
…jetzt nutze ich seit 20 Jahren FRITZ!Boxen aber diese IP kannte ich tatsächlich noch nicht (habe sie aber bisher auch noch nicht benötigt) 🙂
Ein Grund mehr, Modem, Switch/Repeater und AP physisch zu trennen.
Da ich den Nutzern grundsätzlich
nur das „Gast-WLAN“ anbiete und dieses keinen direkten Zugriff auf die „Fritzbox-Webseite“ erlaubt ….
nehme ich an,
dass ich dieses Problem nicht habe …
Ist diese Annahme richtig?
Deine Annahme ist so nicht ganz richtig. Das Problem ist, dass du nur eine manipulierte Website besuchen musst und das Kind ist in den Brunnen gefallen. Ich gehe davon aus, dass du im normalen WLAN eingeloggt bist. Ob der Bug auch aus dem Gast WLAN ausnutzbar ist kann ich nicht sagen.
Hi, habe einen Fritz-Repeater, aber keine FritzBox. Da sollte es doch kein Problem geben, oder?
Naja notfalls hilft immer noch der factory Reset, schließlich hat man ja im allgemeinen Zugriff auf seine Fritte!