Routersicherheit: Fritzbox-Lücke gewährt Angreifern Blick ins lokale Netz

Eine Schwachstelle in FritzOS ermöglicht es Angreifern, über in Webseiten eingebettetes Javascript sicherheitsrelevante Informationen über das lokale Netzwerk abzugreifen. AVM hat ein Update angekündigt, stuft die Gefahr aber als gering ein.

Artikel veröffentlicht am ,
Lücke in FritzOS ermöglicht tiefen Einblick ins lokale Netz.
Lücke in FritzOS ermöglicht tiefen Einblick ins lokale Netz. (Bild: AVM)

Derzeit klafft offenbar eine Lücke in der Firmware von AVM-Routern, mit der zuvor präparierte Webseiten Interna über das lokale Netzwerk eines Fritzbox-Nutzers in Erfahrung bringen können. Berichten zufolge ist es Angreifern so möglich, unter anderem Hostnamen, lokale IP-Adressen und die MAC-Adressen der mit der Fritzbox verbundenen Geräte abzugreifen. Dabei genüge es, dass Fritzbox-Nutzer eine beliebige Webseite mit bösartigem Javascript-Code ansteuern.

Stellenmarkt
  1. Test Automatisierer (m/w/d) IT
    M-net Telekommunikations GmbH, München
  2. Data Engineer (m/w/d)
    Matrix42 AG, Frankfurt am Main
Detailsuche

Eine Angriffstechnik namens DNS-Rebinding ermögliche es, mit einer eigentlich für die Konfiguration vorgesehenen Schnittstelle der Fritzbox zu kommunizieren. Obwohl diese eigentlich passwortgeschützt ist, stehen einzelne Funktionen offenbar auch ohne Authentifizierung zur Verfügung. Dies sei möglich, weil die Schnittstelle auch an die IPv6-Adresse der Fritzbox gebunden ist, und der eingebaute DNS-Rebinding-Schutz dort nicht greift, wie Heise Security berichtet.

AVM reagierte nur langsam

Der Fehler wurde ursprünglich von Birk Blechschmidt entdeckt, der ihn nach eigenen Angaben bereits am 17. März an den Fritzbox-Hersteller AVM meldete. Weil dieser offenbar länger als 90 Tage lang nicht reagierte, entschloss sich Blechschmidt dazu, die Lücke zu veröffentlichen. Zwischenzeitlich wurde sein Blogeintrag offenbar aber wieder entfernt.

Bei AVM schätzt man die Gefahr durch die Lücke als gering ein, weil ein Zugriff auf das Netzwerk nicht möglich sei. "Bei Geräten mit aktivierter IPv6-Verbindung ist es unter sehr unwahrscheinlichen Umständen bei längerem Besuch einer böswilligen Webseite möglich, dass Informationen von Heimnetz-Geräten sichtbar sind", heißt es in einer Erklärung vom 4. Juli. Warum der Besuch einer bösartigen Webseite "sehr unwahrscheinlich" sein solle, sagt AVM nicht. Zugangsdaten, E-Mail-Adressen oder Telefonnummern von Nutzern seien durch die Lücke nicht in Gefahr.

Workaround bis zum Patch

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
  2. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
  3. Penetration Testing Fundamentals
    17.-18. Januar 2022, online
Weitere IT-Trainings

AVM kündigte an, die Lücke "in kommenden Versionen" von FritzOS zu schließen. In welchem Zeitrahmen die neuen Versionen geplant seien, teilte AVM auf Anfrage nicht mit. Eine Pressesprecherin verwies im Gespräch mit Golem.de auf die Regelmäßigkeit vergangener Updates von FritzOS.

Damit bleiben die derzeit aktuellsten FritzOS-Versionen 6.8.3 und 6.8.5 vorerst angreifbar. Wer auf Nummer sicher gehen will, kann bis dahin die IPv6-Unterstützung seiner Fritzbox deaktivieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Verwandte Artikel
artikel-bild
BGH-Urteil
Keine Störerhaftung bei gehacktem WLAN-Passwort
artikel-bild
Mirai-Botnetz
Drei US-Studenten bekennen sich schuldig
artikel-bild
NetUSB
Schwachstelle gefährdet zahlreiche Routermodelle
artikel-bild
JenX
IoT-Botnetz mit zentralen Steuerservern entdeckt
artikel-bild
E-Mail-Clients für Android
Kennwörter werden an App-Entwickler übermittelt
Meistgelesen
artikel-bild
Minidisc gegen DCC
Der vergessene Formatkrieg der 90er-Jahre
artikel-bild
Datenschutz
Google weiß fast alles - aber nicht über mich
artikel-bild
Nach Datenleck
Hausdurchsuchung statt Dankeschön
artikel-bild
LED-Beleuchtung
Nanoleaf Lines sind modular und beleuchten Räume indirekt
artikel-bild
Whatsapp
Vater bekommt wegen eines Nacktfotos Ärger mit Polizei
Kommentarübersicht
Re: Fritzbox dienste die eig. nicht da sein sollten
Harzgeist 19. Mai 2019

Sorry, dass ich einen alten Thread ausgebuddelt habe. Aber sogar bei meiner soeben frei...

Re: Alternativer Workaround
Andre_af 09. Jul 2017

Dienste wie IPv6? Wow... wieder einer der anscheinend null kapiert hat wie der ganze...

Re: IPv6 deaktivieren, wo?
Flexy 08. Jul 2017

Ja, weil bei Unitymedia & Co. mit DS-lite eben kein echtes IPv4 mehr geht. Der Anschluss...

Re: Ab welcher Version behoben?
goto10 08. Jul 2017

Aus dem Artikel: "AVM kündigte an, die Lücke "in kommenden Versionen" von FritzOS zu...

Re: Warum der Besuch einer bösartigen Webseite...
bazoom 07. Jul 2017

Außerdem sagt AVM das die Umstände sehr unwahrscheinlich sind, und nicht, das der Besuch...

Aktuell auf der Startseite von Golem.de
Waffensystem Spur
Menschen töten, so einfach wie Atmen

Soldaten müssen bald nicht mehr um ihr Leben fürchten. Wozu auch, wenn sie aus sicherer Entfernung Roboter in den Krieg schicken können.
Ein IMHO von Oliver Nickel

Waffensystem Spur: Menschen töten, so einfach wie Atmen
Artikel
  1. OpenBSD, TSMC, Deathloop: Halbleiterwerk für Automotive-Chips in Japan bestätigt
    OpenBSD, TSMC, Deathloop
    Halbleiterwerk für Automotive-Chips in Japan bestätigt

    Sonst noch was? Was am 15. Oktober 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

  2. Whatsapp: Vater bekommt wegen eines Nacktfotos Ärger mit Polizei
    Whatsapp
    Vater bekommt wegen eines Nacktfotos Ärger mit Polizei

    Ein Vater nutzte ein 15 Jahre altes Nacktfoto seines Sohnes als Statusfoto bei Whatsapp. Nun läuft ein Kinderpornografie-Verfahren.

  3. Pornoplattform: Journalisten wollen Xhamster-Eigentümer gefunden haben
    Pornoplattform
    Journalisten wollen Xhamster-Eigentümer gefunden haben

    Xhamster ist und bleibt Heimat für zahlreiche rechtswidrige Inhalte. Doch ohne zu wissen, wer profitiert, wusste man bisher auch nicht, wer verantwortlich ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bis 21% auf Logitech, bis 33% auf Digitus - Cyber Week • Crucial 16GB Kit 3600 69,99€ • Razer Huntsman Mini 79,99€ • Gaming-Möbel günstiger (u. a. DX Racer 1 Chair 201,20€) • Alternate-Deals (u. a. Razer Gaming-Maus 19,99€) • Gamesplanet Anniversary Sale Classic & Retro [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /