WLAN-Router Sicherheitslücke im Mediaserver der Fritzbox

Einige Router der Serie Fritzbox von AVM geben im lokalen Netz ihre Konfigurationsdaten preis, ohne dass dafür eine Zugriffsberechtigung besteht. Im schlimmsten Fall kann so auch das WLAN-Passwort ausgelesen werden. Für zwei betroffene Router gibt es bereits ein Firmwareupdate.

Anzeige

In Verbindung mit ihrem per UPnP arbeitenden Mediaserver können einige Fritzboxen auch vertrauliche Daten weitergeben. Der Fehler wurde von Heise Online veröffentlicht, nachdem die Redaktion den Hersteller AVM davon in Kenntnis gesetzt hatte. Die Lücke soll nicht in der Umsetzung des UPnP-Protokolls selbst stecken, sondern in einem Webserver der "Fritz!Box".

Über einen Browser sollen sich so durch Eingabe der richtigen URL - die auf ein Verzeichnis des internen Speichers der Fritzbox verweist - Konfigurationsdaten des Routers auslesen lassen. Dabei kann unter noch nicht veröffentlichten Bedingungen auch das WLAN-Passwort im Klartext ausgelesen werden.

Der Fehler liegt an der Art, wie die Fritzbox die Freigabe von Dateien in ihren Voreinstellungen regelt. Wie AVM in einer Beschreibung der Lücke zeigt, sind ab Werk alle Mediendateien auf einem an den Router angeschlossenen USB-Speicher sowie auch der interne Speicher des Routers freigegeben. Um den Fehler zu beheben, reicht es laut AVM bereits, die Freigabe nur für ein bestimmtes Verzeichnis eines USB-Speichers zu erlauben.

  • Unten rechts lässt sich die Freigabe einschränken. (Bild: AVM)
Unten rechts lässt sich die Freigabe einschränken. (Bild: AVM)

Dennoch will AVM die Lücke selbst auch mit neuen Firmwareversionen für die Router schließen. Die bei diesem Unternehmen Labor genannten Betaversionen mit entsprechenden Fixes gibt es bereits für die Fritzboxen mit den Modellnummern 7390 und 7270 v3. Betroffen ist nach Angaben von AVM außerdem die Fritzbox 3270, für die es aber noch kein Update gibt.

Eine vollständige Liste der Router mit dem Fehler gibt es noch nicht. Daher ist auch nicht auszuschließen, dass der Fehler auch in von AVM für Provider hergestellten Routern existiert, welche die Dienstleister unter eigenen Namen vertreiben. So stammen beispielsweise einige Speedport-Router der Telekom von AVM.

AVM weist in seiner Mitteilung zwar darauf hin, dass ein Zugriff auf die Konfigurationsdaten per Internet nicht möglich sei, Heise Online widerspricht dem jedoch. Durch Cross-Site-Scripting sei es vielleicht möglich, Webseiten so zu präparieren, dass sich die Daten auch aus der Ferne auslesen lassen.


Mirko Steiner 23. Mai 2012

Laut AVM wollen die das generell nicht mehr in den Geräten anbieten... siehe: http...

Kommentieren



Anzeige

  1. Business Intelligence Analyst Logistik (m/w)
    Home Shopping Europe GmbH, Ismaning (Raum München)
  2. Entwickler (m/w) SAP WM / LES (Warehouse Management)
    PAUL HARTMANN AG, Heidenheim
  3. Web-Entwickler (m/w)
    NEXUS Netsoft, Langenfeld
  4. IT Support Specialist (m/w) - Applikationsbetreuung
    Real Garant über Baden Executive Search Personalberatung GmbH, Neuhausen auf den Fildern

 

Detailsuche


Folgen Sie uns
       


  1. MPAA und RIAA

    Film- und Musikindustrie nutzte Megaupload intensiv

  2. F-Secure

    David Hasselhoff spricht auf der Re:publica in Berlin

  3. "Leicht zu verdauen"

    SAP bietet Ratenkauf und kündigt vereinfachte GUI an

  4. Test The Elder Scrolls Online

    Skyrim meets Standard-MMORPG

  5. AMD-Vize Lisa Su

    Geringe Chancen für 20-Nanometer-GPUs von AMD für 2014

  6. Bärbel Höhn

    Smartphone-Hersteller zu Diebstahl-Sperre zwingen

  7. Taxi-App

    Uber will trotz Verbot in weitere deutsche Städte

  8. First-Person-Walker

    Wie viel Gameplay braucht ein Spiel?

  9. Finanzierungsrunde

    Startup Airbnb ist zehn Milliarden US-Dollar wert

  10. Spähaffäre

    Snowden erklärt seine Frage an Putin



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Windows 8.1 Update 1 im Test: Ein lohnenswertes Miniupdate
Windows 8.1 Update 1 im Test
Ein lohnenswertes Miniupdate

Microsoft geht wieder einen Schritt zurück in die Zukunft. Mit dem Update 1 baut der Konzern erneut Funktionen ein, die vor allem für Mausschubser gedacht sind. Wir haben uns das Miniupdate für Windows 8.1 pünktlich zur Veröffentlichung angesehen.

  1. Microsoft Installationsprobleme beim Windows 8.1 Update 1
  2. Windows 8.1 Update 1 Wieder mehr minimieren und schließen
  3. Microsoft Windows 8.1 Update 1 vorab verfügbar

Test Fifa Fußball-WM Brasilien 2014: Unkomplizierter Kick ins WM-Finale
Test Fifa Fußball-WM Brasilien 2014
Unkomplizierter Kick ins WM-Finale

Am 8. Juni 2014 bezieht die deutsche Nationalmannschaft ihr Trainingslager "Campo Bahia" in Brasilien, um einen Anlauf auf den Gewinn des WM-Pokals zu nehmen. Wer sichergehen will, dass es diesmal mit dem Titel klappt, kann zu Fifa Fußball-WM Brasilien 2014 greifen.

  1. Fifa WM 2014 Brasilien angespielt Mit Schweini & Co. nach Südamerika
  2. EA Sports Fifa kickt in Brasilien 2014

OpenSSL: Wichtige Fragen und Antworten zu Heartbleed
OpenSSL
Wichtige Fragen und Antworten zu Heartbleed

Der Heartbleed-Bug in OpenSSL dürfte wohl als eine der gravierendsten Sicherheitslücken aller Zeiten in die Geschichte eingehen. Wir haben die wichtigsten Infos zusammengefasst.

  1. OpenSSL OpenBSD mistet Code aus
  2. OpenSSL-Lücke Programmierer bezeichnet Heartbleed als Versehen
  3. OpenSSL-Bug Spuren von Heartbleed schon im November 2013

    •  / 
    Zum Artikel