Abo
  • Services:

Routersicherheit: Fritzbox-Lücke gewährt Angreifern Blick ins lokale Netz

Eine Schwachstelle in FritzOS ermöglicht es Angreifern, über in Webseiten eingebettetes Javascript sicherheitsrelevante Informationen über das lokale Netzwerk abzugreifen. AVM hat ein Update angekündigt, stuft die Gefahr aber als gering ein.

Artikel veröffentlicht am ,
Lücke in FritzOS ermöglicht tiefen Einblick ins lokale Netz.
Lücke in FritzOS ermöglicht tiefen Einblick ins lokale Netz. (Bild: AVM)

Derzeit klafft offenbar eine Lücke in der Firmware von AVM-Routern, mit der zuvor präparierte Webseiten Interna über das lokale Netzwerk eines Fritzbox-Nutzers in Erfahrung bringen können. Berichten zufolge ist es Angreifern so möglich, unter anderem Hostnamen, lokale IP-Adressen und die MAC-Adressen der mit der Fritzbox verbundenen Geräte abzugreifen. Dabei genüge es, dass Fritzbox-Nutzer eine beliebige Webseite mit bösartigem Javascript-Code ansteuern.

Stellenmarkt
  1. SSI Schäfer IT Solutions GmbH, Giebelstadt, Dortmund
  2. MDK - Medizinischer Dienst der Krankenversicherung Nordrhein, Düsseldorf

Eine Angriffstechnik namens DNS-Rebinding ermögliche es, mit einer eigentlich für die Konfiguration vorgesehenen Schnittstelle der Fritzbox zu kommunizieren. Obwohl diese eigentlich passwortgeschützt ist, stehen einzelne Funktionen offenbar auch ohne Authentifizierung zur Verfügung. Dies sei möglich, weil die Schnittstelle auch an die IPv6-Adresse der Fritzbox gebunden ist, und der eingebaute DNS-Rebinding-Schutz dort nicht greift, wie Heise Security berichtet.

AVM reagierte nur langsam

Der Fehler wurde ursprünglich von Birk Blechschmidt entdeckt, der ihn nach eigenen Angaben bereits am 17. März an den Fritzbox-Hersteller AVM meldete. Weil dieser offenbar länger als 90 Tage lang nicht reagierte, entschloss sich Blechschmidt dazu, die Lücke zu veröffentlichen. Zwischenzeitlich wurde sein Blogeintrag offenbar aber wieder entfernt.

Bei AVM schätzt man die Gefahr durch die Lücke als gering ein, weil ein Zugriff auf das Netzwerk nicht möglich sei. "Bei Geräten mit aktivierter IPv6-Verbindung ist es unter sehr unwahrscheinlichen Umständen bei längerem Besuch einer böswilligen Webseite möglich, dass Informationen von Heimnetz-Geräten sichtbar sind", heißt es in einer Erklärung vom 4. Juli. Warum der Besuch einer bösartigen Webseite "sehr unwahrscheinlich" sein solle, sagt AVM nicht. Zugangsdaten, E-Mail-Adressen oder Telefonnummern von Nutzern seien durch die Lücke nicht in Gefahr.

Workaround bis zum Patch

AVM kündigte an, die Lücke "in kommenden Versionen" von FritzOS zu schließen. In welchem Zeitrahmen die neuen Versionen geplant seien, teilte AVM auf Anfrage nicht mit. Eine Pressesprecherin verwies im Gespräch mit Golem.de auf die Regelmäßigkeit vergangener Updates von FritzOS.

Damit bleiben die derzeit aktuellsten FritzOS-Versionen 6.8.3 und 6.8.5 vorerst angreifbar. Wer auf Nummer sicher gehen will, kann bis dahin die IPv6-Unterstützung seiner Fritzbox deaktivieren.



Anzeige
Blu-ray-Angebote

ikeike 30. Aug 2017

Hallo, ich habe das gleiche Problem (Medienserver nirgends aktiviert und trotzdem...

Andre_af 09. Jul 2017

Dienste wie IPv6? Wow... wieder einer der anscheinend null kapiert hat wie der ganze...

Flexy 08. Jul 2017

Ja, weil bei Unitymedia & Co. mit DS-lite eben kein echtes IPv4 mehr geht. Der Anschluss...

goto10 08. Jul 2017

Aus dem Artikel: "AVM kündigte an, die Lücke "in kommenden Versionen" von FritzOS zu...

bazoom 07. Jul 2017

Außerdem sagt AVM das die Umstände sehr unwahrscheinlich sind, und nicht, das der Besuch...


Folgen Sie uns
       


Dell Ultrasharp 49 (U4919DW) - Fazit

Dells neuer Super-Ultrawide-Monitor begeistert uns im Test als sehr guter Allrounder. Einzig einige Gaming-Features fehlen ihm.

Dell Ultrasharp 49 (U4919DW) - Fazit Video aufrufen
E-Mail-Verschlüsselung: 90 Prozent des Enigmail-Codes sind von mir
E-Mail-Verschlüsselung
"90 Prozent des Enigmail-Codes sind von mir"

Der Entwickler des beliebten OpenPGP-Addons für Thunderbird, Patrick Brunschwig, hätte nichts gegen Unterstützung durch bezahlte Vollzeitentwickler. So könnte Enigmail vielleicht endlich fester Bestandteil von Thunderbird werden.
Ein Interview von Jan Weisensee

  1. SigSpoof Signaturen fälschen mit GnuPG
  2. Librem 5 Purism-Smartphone bekommt Smartcard für Verschlüsselung

Icarus: Forscher beobachten Tiere via ISS
Icarus
Forscher beobachten Tiere via ISS

Dass Vögel wandern, ist seit langem bekannt. Wir haben auch eine Idee, wohin sie ziehen. Aber ganz genau wissen wir es nicht. Das wird sich ändern: Im Rahmen des Projekts Icarus wollen Forscher viele Tiere mit kleinen Sendern ausstatten und so ihre Wanderrouten verfolgen. Die Daten kommen über die ISS zur Erde.
Ein Bericht von Werner Pluta

  1. Tweether Empfangsmodul für 94 GHz kommt aus Kassel
  2. Tweether 10 GBit/s über einen Quadratkilometer verteilt
  3. Telekommunikation Mit dem Laser durch die Wolken

Nasa: Mit drei Lasern und einem Helikopter zum Mars
Nasa
Mit drei Lasern und einem Helikopter zum Mars

Die Landestelle des Mars 2020 Rovers wurde bekanntgegeben. Im Jezero-Krater soll er ein altes Flussdelta untersuchen und Proben für eine spätere Mission sammeln. Allerdings überschreitet die Sparversion vom Mars-Rover Curiosity ihr geplantes Budget bei weitem.

  1. Autodesk University Nasa stellt Vierbeiner für die Planetenerkundung vor
  2. Weltraumforschung Auch die Asteroidenmission Dawn ist am Ende
  3. Parker Solar Probe Sonnen-Sonde der Nasa erfolgreich gestartet

    •  /