Sicherheitslücke: Homebox-6441-Nutzer sollten Firmware überprüfen

Eine Sicherheitslücke erlaubt es, nicht gepatchte O2-Router des Modells Homebox 6441 zu übernehmen. Normalerweise aktualisieren sich die Router automatisch. Besser ist es aber, den aktuellen Patchlevel zu überprüfen.

Artikel veröffentlicht am ,
O2s 6441 ist mit alter Firmware anfällig für Übernahmen.
O2s 6441 ist mit alter Firmware anfällig für Übernahmen. (Bild: O2)

Die Sicherheitsforscher von Nside haben eine gefährliche Sicherheitslücke in Homebox-Routern gefunden. Betroffen ist das Modell Homebox 6441, ein Arcadyan-/Astoria-Router, der von O2 als CPE-Gerät verteilt wird, sprich in Verbindung mit einem Vertrag. Andere Router des Herstellers, die über andere Netzbetreiber verteilt werden, sind laut Nside nicht betroffen.

Normalerweise aktualisieren sich die Router selbst, und da Nside die Lücke rechtzeitig gemeldet hat, konnte sie auch schon beseitigt werden. Nichtsdestotrotz sollten Anwender zumindest einmal kurz ins Router-Interface schauen, ob die Firmware aktuell ist. Laut Nside ist die Version 1.01.30 für die Sicherheitslücke anfällig. Eventuell betrifft das auch alte Versionen, die Nside aber nicht getestet hat.

Die Sicherheitslücke ist insofern gefährlich, als sie es Angreifern von außen erlaubt, mit einem sogenannten Vanilla Buffer Overflow den gesamten Router unter Kontrolle zu bringen. Dieser Buffer Overflow fand sich im eingebetteten Webserver des Routers. Eine Anmeldung beim Router war also nicht einmal nötig, um das Gerät zu kontrollieren.

Der Router ist ein vergleichsweise modernes Gerät, dürfte also vor allem bei neueren Anschlüssen installiert werden, die bis ADSL2+ und VDSL2 bieten. Das Installationsvideo stammt aus dem Jahr 2015, was bei der Identifizierung solcher Anschlüsse, etwa bei Bekannten oder Verwandten, hilfreich sein könnte. Alternativ dürfte auch die Hotline bei der Identifikation der Firmware helfen, da die Instandhaltung der Geräte vom Provider übernommen wird.

Das System besitzt eine moderne Dual-Band-WLAN-Einheit (802.11b/g/n/ac) und kümmert sich gleichzeitig um Telefonie, was eine Übernahme umso unangenehmer für Kunden macht, da Angreifer so auch (kostenpflichtige) Telefonate absetzen könnten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
25 Jahre Starship Troopers
Paul Verhoevens missverstandene Satire

Als Starship Troopers in die Kinos kam, wurde ihm faschistoides Gedankengut unterstellt. Dabei ist der Film des Niederländers Paul Verhoeven eine beißende Satire.
Von Peter Osteried

25 Jahre Starship Troopers: Paul Verhoevens missverstandene Satire
Artikel
  1. Azure DevOps: Die Entwicklerplattform, die es richtig macht
    Azure DevOps
    Die Entwicklerplattform, die es richtig macht

    Azure DevOps ist eine mächtige und ständig wachsende Plattform. Ich bin Fan - und zwar aus guten Gründen.
    Ein IMHO von Rene Koch

  2. Lügenvorwürfe: Beschwerden über Telekom-Drückerkolonnen auch in Karlsruhe
    Lügenvorwürfe
    Beschwerden über Telekom-Drückerkolonnen auch in Karlsruhe

    Wie in Köln arbeiten Telekom-Werber offenbar auch in Karlsruhe mit fragwürdigen Methoden. Verbraucherschützer fordern ein Verbot solcher Besuche ohne Einwilligung.

  3. Energiekrise: Brauchen wir Atomkraftwerke noch?
    Energiekrise
    Brauchen wir Atomkraftwerke noch?

    Wegen des Kriegs in der Ukraine laufen die letzten drei deutschen Atomkraftwerke bis Mitte April. Ein Weiterbetrieb wird gefordert. Wie realistisch oder sinnvoll ist das?
    Eine Analyse von Werner Pluta

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Kingston NV2 2TB 104,90€ • Patriot Viper VPN100 2TB 123,89€ • Alternate: Weekend Sale • WSV bei MediaMarkt • XIAOMI Watch S1 149€ • Alphacool Eiswolf 2 AiO 360 Radeon RX 6800/XT 227,89€ • MindStar: be quiet! Dark Power 13 1000W 259€ • The Legend of Zelda: Link's Awakening 39,99€ [Werbung]
    •  /