Abo
  • Services:
Anzeige
Lücke in FritzOS ermöglicht tiefen Einblick ins lokale Netz.
Lücke in FritzOS ermöglicht tiefen Einblick ins lokale Netz. (Bild: AVM)

Routersicherheit: Fritzbox-Lücke gewährt Angreifern Blick ins lokale Netz

Lücke in FritzOS ermöglicht tiefen Einblick ins lokale Netz.
Lücke in FritzOS ermöglicht tiefen Einblick ins lokale Netz. (Bild: AVM)

Eine Schwachstelle in FritzOS ermöglicht es Angreifern, über in Webseiten eingebettetes Javascript sicherheitsrelevante Informationen über das lokale Netzwerk abzugreifen. AVM hat ein Update angekündigt, stuft die Gefahr aber als gering ein.

Derzeit klafft offenbar eine Lücke in der Firmware von AVM-Routern, mit der zuvor präparierte Webseiten Interna über das lokale Netzwerk eines Fritzbox-Nutzers in Erfahrung bringen können. Berichten zufolge ist es Angreifern so möglich, unter anderem Hostnamen, lokale IP-Adressen und die MAC-Adressen der mit der Fritzbox verbundenen Geräte abzugreifen. Dabei genüge es, dass Fritzbox-Nutzer eine beliebige Webseite mit bösartigem Javascript-Code ansteuern.

Anzeige

Eine Angriffstechnik namens DNS-Rebinding ermögliche es, mit einer eigentlich für die Konfiguration vorgesehenen Schnittstelle der Fritzbox zu kommunizieren. Obwohl diese eigentlich passwortgeschützt ist, stehen einzelne Funktionen offenbar auch ohne Authentifizierung zur Verfügung. Dies sei möglich, weil die Schnittstelle auch an die IPv6-Adresse der Fritzbox gebunden ist, und der eingebaute DNS-Rebinding-Schutz dort nicht greift, wie Heise Security berichtet.

AVM reagierte nur langsam

Der Fehler wurde ursprünglich von Birk Blechschmidt entdeckt, der ihn nach eigenen Angaben bereits am 17. März an den Fritzbox-Hersteller AVM meldete. Weil dieser offenbar länger als 90 Tage lang nicht reagierte, entschloss sich Blechschmidt dazu, die Lücke zu veröffentlichen. Zwischenzeitlich wurde sein Blogeintrag offenbar aber wieder entfernt.

Bei AVM schätzt man die Gefahr durch die Lücke als gering ein, weil ein Zugriff auf das Netzwerk nicht möglich sei. "Bei Geräten mit aktivierter IPv6-Verbindung ist es unter sehr unwahrscheinlichen Umständen bei längerem Besuch einer böswilligen Webseite möglich, dass Informationen von Heimnetz-Geräten sichtbar sind", heißt es in einer Erklärung vom 4. Juli. Warum der Besuch einer bösartigen Webseite "sehr unwahrscheinlich" sein solle, sagt AVM nicht. Zugangsdaten, E-Mail-Adressen oder Telefonnummern von Nutzern seien durch die Lücke nicht in Gefahr.

Workaround bis zum Patch

AVM kündigte an, die Lücke "in kommenden Versionen" von FritzOS zu schließen. In welchem Zeitrahmen die neuen Versionen geplant seien, teilte AVM auf Anfrage nicht mit. Eine Pressesprecherin verwies im Gespräch mit Golem.de auf die Regelmäßigkeit vergangener Updates von FritzOS.

Damit bleiben die derzeit aktuellsten FritzOS-Versionen 6.8.3 und 6.8.5 vorerst angreifbar. Wer auf Nummer sicher gehen will, kann bis dahin die IPv6-Unterstützung seiner Fritzbox deaktivieren.


eye home zur Startseite
x2k 11. Jul 2017

Das ist ja der punkt. Es wurde nie eingerichtet. Nichtmal der normale medienserver der...

Themenstart

Andre_af 09. Jul 2017

Dienste wie IPv6? Wow... wieder einer der anscheinend null kapiert hat wie der ganze...

Themenstart

Flexy 08. Jul 2017

Ja, weil bei Unitymedia & Co. mit DS-lite eben kein echtes IPv4 mehr geht. Der Anschluss...

Themenstart

goto10 08. Jul 2017

Aus dem Artikel: "AVM kündigte an, die Lücke "in kommenden Versionen" von FritzOS zu...

Themenstart

bazoom 07. Jul 2017

Außerdem sagt AVM das die Umstände sehr unwahrscheinlich sind, und nicht, das der Besuch...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Fresenius Kabi Deutschland GmbH, Bad Homburg
  2. SEW-EURODRIVE GmbH & Co KG, Bruchsal
  3. Dataport, Altenholz, Kiel
  4. Robert Bosch GmbH, Leonberg


Anzeige
Blu-ray-Angebote
  1. 49,99€ (Vorbesteller-Preisgarantie)
  2. 29,99€ (Vorbesteller-Preisgarantie)
  3. (u. a. The Revenant 7,97€, James Bond Spectre 7,97€, Der Marsianer 7,97€)

Folgen Sie uns
       


  1. Datenrate

    O2 drosselt mobiles Internet wegen EU-Roamings

  2. Netgear Nighthawk X6S

    Triband-Router kann mit Sprache gesteuert werden

  3. Spark

    DJI-Minicopter stürzt ab

  4. Nachfolger Watchbox

    RTL beendet Streamingportal Clipfish

  5. Chipmaschinenausrüster

    ASML demonstriert 250-Watt-EUV-System

  6. Linux-Distribution

    Opensuse Leap 42.3 baut Langzeitpflege aus

  7. Soziales Netzwerk

    Facebook soll an Smart-Speaker mit Display arbeiten

  8. Kumu Networks

    Vollduplex-WLAN auf gleicher Frequenz soll noch 2018 kommen

  9. IT-Dienstleister

    Daten von 400.000 Unicredit-Kunden kompromittiert

  10. Terrorismusbekämpfung

    Fluggastdatenabkommen mit Kanada darf nicht in Kraft treten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Poets One im Test: Kleiner Preamp, großer Sound
Poets One im Test
Kleiner Preamp, großer Sound
  1. Dunkirk Interstellar-Regisseur setzt weiter auf 70mm statt 4K
  2. Umfrage Viele wollen weg von DVB-T2
  3. DVB-T2 Freenet TV will wohl auch über Astra ausstrahlen

Quantengatter: Die Bauteile des Quantencomputers
Quantengatter
Die Bauteile des Quantencomputers
  1. Anwendungen für Quantencomputer Der Spuk in Ihrem Computer
  2. Quantencomputer Ein Forscher in den unergründlichen Weiten des Hilbertraums
  3. Quantenprogrammierung "Die physikalische Welt kann kreativer sein als wir selbst"

Shipito: Mit wenigen Mausklicks zur US-Postadresse
Shipito
Mit wenigen Mausklicks zur US-Postadresse
  1. Kartellamt Mundt kritisiert individuelle Preise im Onlinehandel
  2. Automatisierte Lagerhäuser Ein riesiger Nerd-Traum
  3. Onlineshopping Ebay bringt bedingte Tiefpreisgarantie nach Deutschland

  1. Re: In den USA bricht das Netz nicht zusammen

    amagol | 18:38

  2. Meine Blau Karte...

    zacha | 18:38

  3. Re: AMD und Intel dem Untergang geweiht

    Kaosmatic | 18:38

  4. 300 US-Dollar...

    jayjay | 18:38

  5. Re: Das ist doch Dummenverar....

    Mithrandir | 18:37


  1. 17:26

  2. 16:53

  3. 16:22

  4. 14:53

  5. 14:15

  6. 14:00

  7. 13:51

  8. 13:34


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel