Abo
  • Services:
Anzeige
Lücke in FritzOS ermöglicht tiefen Einblick ins lokale Netz.
Lücke in FritzOS ermöglicht tiefen Einblick ins lokale Netz. (Bild: AVM)

Routersicherheit: Fritzbox-Lücke gewährt Angreifern Blick ins lokale Netz

Lücke in FritzOS ermöglicht tiefen Einblick ins lokale Netz.
Lücke in FritzOS ermöglicht tiefen Einblick ins lokale Netz. (Bild: AVM)

Eine Schwachstelle in FritzOS ermöglicht es Angreifern, über in Webseiten eingebettetes Javascript sicherheitsrelevante Informationen über das lokale Netzwerk abzugreifen. AVM hat ein Update angekündigt, stuft die Gefahr aber als gering ein.

Derzeit klafft offenbar eine Lücke in der Firmware von AVM-Routern, mit der zuvor präparierte Webseiten Interna über das lokale Netzwerk eines Fritzbox-Nutzers in Erfahrung bringen können. Berichten zufolge ist es Angreifern so möglich, unter anderem Hostnamen, lokale IP-Adressen und die MAC-Adressen der mit der Fritzbox verbundenen Geräte abzugreifen. Dabei genüge es, dass Fritzbox-Nutzer eine beliebige Webseite mit bösartigem Javascript-Code ansteuern.

Anzeige

Eine Angriffstechnik namens DNS-Rebinding ermögliche es, mit einer eigentlich für die Konfiguration vorgesehenen Schnittstelle der Fritzbox zu kommunizieren. Obwohl diese eigentlich passwortgeschützt ist, stehen einzelne Funktionen offenbar auch ohne Authentifizierung zur Verfügung. Dies sei möglich, weil die Schnittstelle auch an die IPv6-Adresse der Fritzbox gebunden ist, und der eingebaute DNS-Rebinding-Schutz dort nicht greift, wie Heise Security berichtet.

AVM reagierte nur langsam

Der Fehler wurde ursprünglich von Birk Blechschmidt entdeckt, der ihn nach eigenen Angaben bereits am 17. März an den Fritzbox-Hersteller AVM meldete. Weil dieser offenbar länger als 90 Tage lang nicht reagierte, entschloss sich Blechschmidt dazu, die Lücke zu veröffentlichen. Zwischenzeitlich wurde sein Blogeintrag offenbar aber wieder entfernt.

Bei AVM schätzt man die Gefahr durch die Lücke als gering ein, weil ein Zugriff auf das Netzwerk nicht möglich sei. "Bei Geräten mit aktivierter IPv6-Verbindung ist es unter sehr unwahrscheinlichen Umständen bei längerem Besuch einer böswilligen Webseite möglich, dass Informationen von Heimnetz-Geräten sichtbar sind", heißt es in einer Erklärung vom 4. Juli. Warum der Besuch einer bösartigen Webseite "sehr unwahrscheinlich" sein solle, sagt AVM nicht. Zugangsdaten, E-Mail-Adressen oder Telefonnummern von Nutzern seien durch die Lücke nicht in Gefahr.

Workaround bis zum Patch

AVM kündigte an, die Lücke "in kommenden Versionen" von FritzOS zu schließen. In welchem Zeitrahmen die neuen Versionen geplant seien, teilte AVM auf Anfrage nicht mit. Eine Pressesprecherin verwies im Gespräch mit Golem.de auf die Regelmäßigkeit vergangener Updates von FritzOS.

Damit bleiben die derzeit aktuellsten FritzOS-Versionen 6.8.3 und 6.8.5 vorerst angreifbar. Wer auf Nummer sicher gehen will, kann bis dahin die IPv6-Unterstützung seiner Fritzbox deaktivieren.


eye home zur Startseite
ikeike 30. Aug 2017

Hallo, ich habe das gleiche Problem (Medienserver nirgends aktiviert und trotzdem...

Andre_af 09. Jul 2017

Dienste wie IPv6? Wow... wieder einer der anscheinend null kapiert hat wie der ganze...

Flexy 08. Jul 2017

Ja, weil bei Unitymedia & Co. mit DS-lite eben kein echtes IPv4 mehr geht. Der Anschluss...

goto10 08. Jul 2017

Aus dem Artikel: "AVM kündigte an, die Lücke "in kommenden Versionen" von FritzOS zu...

bazoom 07. Jul 2017

Außerdem sagt AVM das die Umstände sehr unwahrscheinlich sind, und nicht, das der Besuch...



Anzeige

Stellenmarkt
  1. HORIBA Europe GmbH, Oberursel
  2. über Wefers & Coll. Unternehmerberatung GmbH, Nordwestdeutschland
  3. Hochschule Furtwangen, Furtwangen
  4. RI-Solution GmbH, München


Anzeige
Top-Angebote
  1. 629€ + 1,99€ Versand oder Abholung im Markt
  2. 10,99€
  3. 7,49€

Folgen Sie uns
       


  1. Mobiles Betriebssystem

    Apple veröffentlicht überraschend iOS 11.0.1

  2. Banking-App

    Outbank im Insolvenzverfahren

  3. Glasfaser

    Telekom wegen fehlendem FTTH massiv unter Druck

  4. Offene Konsole

    Ataribox entspricht Mittelklasse-PC mit Linux

  5. Autoversicherungen

    HUK-Coburg verlässt "relativ teure Vergleichsportale"

  6. RT-AC86U

    Asus-Router priorisiert Gaming-Pakete und kann 1024QAM

  7. CDN

    Cloudflare bietet lokale TLS-Schlüssel und mehr DDoS-Schutz

  8. Star Trek Discovery angeschaut

    Star Trek - Eine neue Hoffnung

  9. Gemeinde Egelsbach

    Telekom-Glasfaser in Gewerbegebiet findet schnell Kunden

  10. Microsoft

    Programme für Quantencomputer in Visual Studio entwickeln



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Bundestagswahl 2017: Ein Hoffnungsschimmer für die Netzpolitik
Bundestagswahl 2017
Ein Hoffnungsschimmer für die Netzpolitik
  1. Bundestagswahl 2017 Union und SPD verlieren, Jamaika-Koalition rückt näher
  2. Störerhaftung abgeschafft Bundesrat stimmt für WLAN-Gesetz mit Netzsperrenanspruch
  3. Merkel im Bundestag "Wir wollen nicht im Technikmuseum enden"

Inspiron 5675 im Test: Dells Ryzen-Gaming-PC reicht mindestens bis 2020
Inspiron 5675 im Test
Dells Ryzen-Gaming-PC reicht mindestens bis 2020
  1. Android 8.0 im Test Fertig oder nicht fertig, das ist hier die Frage
  2. Logitech Powerplay im Test Die niemals leere Funk-Maus
  3. Polar vs. Fitbit Duell der Schlafexperten

Anki Cozmo im Test: Katze gegen Roboter
Anki Cozmo im Test
Katze gegen Roboter
  1. Die Woche im Video Apple, Autos und ein grinsender Affe

  1. Re: Es gibt im Wettbewerb kein Vakuum

    Genie | 00:02

  2. Re: Beim Privatkunden zählt meist der...

    nachgefragt | 26.09. 23:59

  3. Re: Ruin durch übertriebene Rendite-Erwartungen

    Deff-Zero | 26.09. 23:58

  4. Re: Zusammenhang Dateisystem und Anwendung

    User_x | 26.09. 23:55

  5. Re: Verstehe ich nicht

    LIGHTSABER96 | 26.09. 23:54


  1. 23:09

  2. 19:13

  3. 18:36

  4. 17:20

  5. 17:00

  6. 16:44

  7. 16:33

  8. 16:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel