Routersicherheit: Fritzbox-Lücke gewährt Angreifern Blick ins lokale Netz

Eine Schwachstelle in FritzOS ermöglicht es Angreifern, über in Webseiten eingebettetes Javascript sicherheitsrelevante Informationen über das lokale Netzwerk abzugreifen. AVM hat ein Update angekündigt, stuft die Gefahr aber als gering ein.

Artikel veröffentlicht am ,
Lücke in FritzOS ermöglicht tiefen Einblick ins lokale Netz.
Lücke in FritzOS ermöglicht tiefen Einblick ins lokale Netz. (Bild: AVM)

Derzeit klafft offenbar eine Lücke in der Firmware von AVM-Routern, mit der zuvor präparierte Webseiten Interna über das lokale Netzwerk eines Fritzbox-Nutzers in Erfahrung bringen können. Berichten zufolge ist es Angreifern so möglich, unter anderem Hostnamen, lokale IP-Adressen und die MAC-Adressen der mit der Fritzbox verbundenen Geräte abzugreifen. Dabei genüge es, dass Fritzbox-Nutzer eine beliebige Webseite mit bösartigem Javascript-Code ansteuern.

Stellenmarkt
  1. Java-Entwickler (m/w/d)
    e.bootis, Essen
  2. Projektleiter m/w/d Elektro- / Software-Engineering
    über unternehmensberatung monika gräter, Straubing
Detailsuche

Eine Angriffstechnik namens DNS-Rebinding ermögliche es, mit einer eigentlich für die Konfiguration vorgesehenen Schnittstelle der Fritzbox zu kommunizieren. Obwohl diese eigentlich passwortgeschützt ist, stehen einzelne Funktionen offenbar auch ohne Authentifizierung zur Verfügung. Dies sei möglich, weil die Schnittstelle auch an die IPv6-Adresse der Fritzbox gebunden ist, und der eingebaute DNS-Rebinding-Schutz dort nicht greift, wie Heise Security berichtet.

AVM reagierte nur langsam

Der Fehler wurde ursprünglich von Birk Blechschmidt entdeckt, der ihn nach eigenen Angaben bereits am 17. März an den Fritzbox-Hersteller AVM meldete. Weil dieser offenbar länger als 90 Tage lang nicht reagierte, entschloss sich Blechschmidt dazu, die Lücke zu veröffentlichen. Zwischenzeitlich wurde sein Blogeintrag offenbar aber wieder entfernt.

Bei AVM schätzt man die Gefahr durch die Lücke als gering ein, weil ein Zugriff auf das Netzwerk nicht möglich sei. "Bei Geräten mit aktivierter IPv6-Verbindung ist es unter sehr unwahrscheinlichen Umständen bei längerem Besuch einer böswilligen Webseite möglich, dass Informationen von Heimnetz-Geräten sichtbar sind", heißt es in einer Erklärung vom 4. Juli. Warum der Besuch einer bösartigen Webseite "sehr unwahrscheinlich" sein solle, sagt AVM nicht. Zugangsdaten, E-Mail-Adressen oder Telefonnummern von Nutzern seien durch die Lücke nicht in Gefahr.

Workaround bis zum Patch

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. Linux-Systeme absichern und härten
    8.-10. November 2021, online
Weitere IT-Trainings

AVM kündigte an, die Lücke "in kommenden Versionen" von FritzOS zu schließen. In welchem Zeitrahmen die neuen Versionen geplant seien, teilte AVM auf Anfrage nicht mit. Eine Pressesprecherin verwies im Gespräch mit Golem.de auf die Regelmäßigkeit vergangener Updates von FritzOS.

Damit bleiben die derzeit aktuellsten FritzOS-Versionen 6.8.3 und 6.8.5 vorerst angreifbar. Wer auf Nummer sicher gehen will, kann bis dahin die IPv6-Unterstützung seiner Fritzbox deaktivieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Harzgeist 19. Mai 2019

Sorry, dass ich einen alten Thread ausgebuddelt habe. Aber sogar bei meiner soeben frei...

Andre_af 09. Jul 2017

Dienste wie IPv6? Wow... wieder einer der anscheinend null kapiert hat wie der ganze...

Flexy 08. Jul 2017

Ja, weil bei Unitymedia & Co. mit DS-lite eben kein echtes IPv4 mehr geht. Der Anschluss...

goto10 08. Jul 2017

Aus dem Artikel: "AVM kündigte an, die Lücke "in kommenden Versionen" von FritzOS zu...

bazoom 07. Jul 2017

Außerdem sagt AVM das die Umstände sehr unwahrscheinlich sind, und nicht, das der Besuch...



Aktuell auf der Startseite von Golem.de
Elektromobilität
BMW gibt sich mit 600 Kilometern Reichweite zufrieden

Reichweite ist für BMW wichtig, aber nicht am wichtigsten. Eine Rekordjagd nach immer mehr Kilometern sehen die Entwickler nicht vor.

Elektromobilität: BMW gibt sich mit 600 Kilometern Reichweite zufrieden
Artikel
  1. Telekom: Vodafone will unseren Glasfaserausbau bremsen
    Telekom
    Vodafone will "unseren Glasfaserausbau bremsen"

    Vodafone habe den eigenen Glasfaserausbau kürzlich für beendet erklärt und nehme den Spaten nicht in die Hand, erklärte die Telekom.

  2. Chorus angespielt: Automatischer Arschtritt im All
    Chorus angespielt
    Automatischer Arschtritt im All

    Knopfdruck, Teleport hinter Feind, Abschuss: Das Weltraumspiel Chorus will mit Story, Grafik und Ideen punkten. Golem.de hat es angespielt.
    Von Peter Steinlechner

  3. Lightning ade: EU will USB-C als alleinige Handy-Ladebuchse vorschreiben
    Lightning ade  
    EU will USB-C als alleinige Handy-Ladebuchse vorschreiben

    Die EU-Kommission will eine einheitliche Ladebuchse einführen. USB-C soll zum Aufladen aller möglichen Kleingeräte verwendet werden.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Asus 27" WQHD 144Hz 260,91€ • Alternate-Deals (u. a. Acer Nitro 27" FHD 159,90€) • Neuer Kindle Paperwhite Signature Edition vorbestellbar 189,99€ • Black Week bei NBB: Bis 50% Rabatt (u. a. MSI 31,5" Curved WQHD 165Hz 350€) • PS5 Digital mit FIFA 22 bei o2 bestellbar [Werbung]
    •  /