Abo
  • Services:

Routersicherheit: Fritzbox-Lücke gewährt Angreifern Blick ins lokale Netz

Eine Schwachstelle in FritzOS ermöglicht es Angreifern, über in Webseiten eingebettetes Javascript sicherheitsrelevante Informationen über das lokale Netzwerk abzugreifen. AVM hat ein Update angekündigt, stuft die Gefahr aber als gering ein.

Artikel veröffentlicht am ,
Lücke in FritzOS ermöglicht tiefen Einblick ins lokale Netz.
Lücke in FritzOS ermöglicht tiefen Einblick ins lokale Netz. (Bild: AVM)

Derzeit klafft offenbar eine Lücke in der Firmware von AVM-Routern, mit der zuvor präparierte Webseiten Interna über das lokale Netzwerk eines Fritzbox-Nutzers in Erfahrung bringen können. Berichten zufolge ist es Angreifern so möglich, unter anderem Hostnamen, lokale IP-Adressen und die MAC-Adressen der mit der Fritzbox verbundenen Geräte abzugreifen. Dabei genüge es, dass Fritzbox-Nutzer eine beliebige Webseite mit bösartigem Javascript-Code ansteuern.

Stellenmarkt
  1. August Beck GmbH & Co. KG, Winterlingen
  2. über duerenhoff GmbH, Duisburg

Eine Angriffstechnik namens DNS-Rebinding ermögliche es, mit einer eigentlich für die Konfiguration vorgesehenen Schnittstelle der Fritzbox zu kommunizieren. Obwohl diese eigentlich passwortgeschützt ist, stehen einzelne Funktionen offenbar auch ohne Authentifizierung zur Verfügung. Dies sei möglich, weil die Schnittstelle auch an die IPv6-Adresse der Fritzbox gebunden ist, und der eingebaute DNS-Rebinding-Schutz dort nicht greift, wie Heise Security berichtet.

AVM reagierte nur langsam

Der Fehler wurde ursprünglich von Birk Blechschmidt entdeckt, der ihn nach eigenen Angaben bereits am 17. März an den Fritzbox-Hersteller AVM meldete. Weil dieser offenbar länger als 90 Tage lang nicht reagierte, entschloss sich Blechschmidt dazu, die Lücke zu veröffentlichen. Zwischenzeitlich wurde sein Blogeintrag offenbar aber wieder entfernt.

Bei AVM schätzt man die Gefahr durch die Lücke als gering ein, weil ein Zugriff auf das Netzwerk nicht möglich sei. "Bei Geräten mit aktivierter IPv6-Verbindung ist es unter sehr unwahrscheinlichen Umständen bei längerem Besuch einer böswilligen Webseite möglich, dass Informationen von Heimnetz-Geräten sichtbar sind", heißt es in einer Erklärung vom 4. Juli. Warum der Besuch einer bösartigen Webseite "sehr unwahrscheinlich" sein solle, sagt AVM nicht. Zugangsdaten, E-Mail-Adressen oder Telefonnummern von Nutzern seien durch die Lücke nicht in Gefahr.

Workaround bis zum Patch

AVM kündigte an, die Lücke "in kommenden Versionen" von FritzOS zu schließen. In welchem Zeitrahmen die neuen Versionen geplant seien, teilte AVM auf Anfrage nicht mit. Eine Pressesprecherin verwies im Gespräch mit Golem.de auf die Regelmäßigkeit vergangener Updates von FritzOS.

Damit bleiben die derzeit aktuellsten FritzOS-Versionen 6.8.3 und 6.8.5 vorerst angreifbar. Wer auf Nummer sicher gehen will, kann bis dahin die IPv6-Unterstützung seiner Fritzbox deaktivieren.



Anzeige
Top-Angebote
  1. 399€ + Versand (Vergleichspreis 503,98€)
  2. ab 499€ (Vergleichspreis Smartphone ca. 550€, Einzelpreis Tablet 129€)
  3. ab 589€ (Vergleichspreis Smartphone über 650€, Einzelpreis Tablet 129€)
  4. 469€ (Bestpreis!)

ikeike 30. Aug 2017

Hallo, ich habe das gleiche Problem (Medienserver nirgends aktiviert und trotzdem...

Andre_af 09. Jul 2017

Dienste wie IPv6? Wow... wieder einer der anscheinend null kapiert hat wie der ganze...

Flexy 08. Jul 2017

Ja, weil bei Unitymedia & Co. mit DS-lite eben kein echtes IPv4 mehr geht. Der Anschluss...

goto10 08. Jul 2017

Aus dem Artikel: "AVM kündigte an, die Lücke "in kommenden Versionen" von FritzOS zu...

bazoom 07. Jul 2017

Außerdem sagt AVM das die Umstände sehr unwahrscheinlich sind, und nicht, das der Besuch...


Folgen Sie uns
       


So stellt sich Transdev den Einsatz autonomer Busse vor

Das französische Nahverkehrsbetrieb Transdev will künftig Fahrgäste mit autonomen Bussen befördern. Das Video stellt das Konzept vor.

So stellt sich Transdev den Einsatz autonomer Busse vor Video aufrufen
Gesetzesentwurf: So will die Regierung den Abmahnmissbrauch eindämmen
Gesetzesentwurf
So will die Regierung den Abmahnmissbrauch eindämmen

Obwohl nach Inkrafttreten der DSGVO eine Abmahnwelle ausgeblieben ist, will Justizministerin Barley nun gesetzlich gegen missbräuchliche Abmahnungen vorgehen. Damit soll auch der "fliegende Gerichtsstand" im Wettbewerbsrecht abgeschafft werden.
Von Friedhelm Greis


    Segelflug: Die Höhenflieger
    Segelflug
    Die Höhenflieger

    In einem Experimental-Segelflugzeug von Airbus wollen Flugenthusiasten auf gigantischen Luftwirbeln am Rande der Antarktis fast 30 Kilometer hoch aufsteigen - ganz ohne Motor. An Bord sind Messinstrumente, die neue und unverfälschte Daten für die Klimaforschung liefern.
    Ein Bericht von Daniel Hautmann

    1. Luftfahrt Nasa testet leise Überschallflüge
    2. Low-Boom Flight Demonstrator Lockheed baut leises Überschallflugzeug
    3. Elektroflieger Norwegen will elektrisch fliegen

    Lenovo Thinkpad T480s im Test: Das trotzdem beste Business-Notebook
    Lenovo Thinkpad T480s im Test
    Das trotzdem beste Business-Notebook

    Mit dem Thinkpad T480s verkauft Lenovo ein exzellentes 14-Zoll-Business-Notebook. Anschlüsse und Eingabegeräte überzeugen uns - leider ist aber die CPU konservativ eingestellt und ein gutes Display kostet extra.
    Ein Test von Marc Sauter und Sebastian Grüner

    1. Thinkpad E480/E485 im Test AMD gegen Intel in Lenovos 14-Zoll-Notebook
    2. Lenovo Das Thinkpad P1 ist das X1 Carbon als Workstation
    3. Thinkpad Ultra Docking Station im Test Das USB-Typ-C-Dock mit robuster Mechanik

      •  /