AVM Fritzboxen auch ohne aktivem Fernzugang für Hacker zugänglich [Update]

18. Februar 2014, 8:24 Uhr | Archiv

Die für die Sicherheitslücke der AVM-Router verantwortliche Schwachstelle ermöglicht nach einer Analyse von Heise Security Hackern auch den Zugang zu AVMs Fritzboxen, bei denen der Fernzugang nicht aktiviert ist. Deshalb sollten alle Besitzer der betroffenen Router sich um eine Aktualisierung der Firmware kümmern.

AVM FRITZ!Box 6360 Cable

Manche Fritzbox-Router wie hier das Modell 6360 Cable lassen sich nur vom Internet-Provider mit neuer Firmware versorgen. (Foto: AVM)

Bislang hatte AVM von Angriffen bei aktiviertem Fernzugriff und dem Port 443 gesprochen. Diese sorgten in jüngster Vergangenheit für Hacks, bei denen kostenpflichtige Telefonnummern im Ausland vom Fritzbox-Router angerufen wurden. AVM und mehreren Providern sind einige hundert Fälle in Deutschland bekannt.

Nun hat Heise Security in Zusammenarbeit mit dem Reverse-Engineering-Experten Hanno Heinrichs in einer Analyse der neuen Firmware herausgefunden, dass Angriffe auf Fritzboxen ohne eingespieltem Firmware-Update auch ohne aktiviertem Fernzugriff erfolgen können. Dazu reicht es, wenn der Besitzer einer Fritzbox über diese ahnungslos eine Website mit Schadsoftware ansteuert. Laut Heise Security erhält der Angreifer dann volle Kontrolle über die Steuerung der Fritzbox und kann diese mit Befehlen auf Root-Ebene ausführen. Es ist anzunehmen, dass noch sehr viele – wenn nicht die Mehrzahl der AVM-Router-Anwender  – die neue Firmware noch nicht aufgespielt haben. Die Installation des Updates selber ist einfach und in kurzer Zeit erledigt. Schlechtere Karten haben Anwender, deren AVM-Router über ihren Provider gewartet und upgedatet werden. Für die Fritzbox 6360, 6340 und 6320 Cable etwa sind ausschließlich die Internet-Provider für das Firmware-Update zuständig. Bei Kabel Deutschland laufen die Updates nach Angaben der Firma momentan für alle aktiven AVM-Router in Kabel-Deutschland-Verträgen sukzessive durch. O2-Kunden haben dem Vernehmen nach bislang noch für keinen der Gerätetypen Updates erhalten.

[Update] AVM hat inzwischen eine Liste der Fritzbox-Modelle und verfügbaren Sicherheitsupdates veröffentlicht.

Über den Autor

2 Kommentare

  1. Antworten

    Martin Sach

    19. März 2014

    Wäre nett zu wissen, ob Unitymedia das Update schon durchgeführt hat. Manuell ist das, wie oben schon erwähnt, nicht möglich. Sollten bei uns ebenfalls horrende Telefongebühren auflaufen, ist auf jeden Fall klar, wer dafür die Verantwortung zu übernehmen hat.

    • Antworten

      Sarah K.

      19. März 2014

      Sicherheitslücke durch aktivierten Fernzugang bei der FRITZ!Box
      Sicherheitshinweis von Unitymedia KabelBW:
      Erste Kunden erhalten Updates – Fernzugang deaktiviert

      Seit einigen Tagen ist bekannt, dass unautorisierte Dritte aufgrund
      einer Sicherheitslücke über den aktivierten Fernzugang auf die Fritzbox
      zugreifen können. Die Angreifer sind dadurch in der Lage, ein virtuelles
      IP-Telefon zu installieren und teure Telefonate ins Ausland auf Kosten
      des Anschlussinhabers zu führen. Über diesen Sachverhalt haben wir die
      identifizierten Kunden in den vergangenen Tagen informiert und ihnen
      geraten, den Fernzugang zu deaktivieren.

      Wir haben von AVM ein
      Sicherheitsupdate erhalten, das den Zugang zur Fritzbox durch Fremde
      unterbindet, wenn der Fernzugriff aktiviert ist. An diesem Update haben
      wir in den vergangenen Tagen aus Sicherheitsgründen Kompatibilitätstests
      durchgeführt.
      Am heutigen Freitag (14.2.2014) haben wir damit
      begonnen, das Update zur Beseitigung der Sicherheitslücke an unsere
      Kunden zu verteilen. Die Auslieferung erfolgt in mehreren Schritten, bis
      spätestens Ende nächster Woche wird die Aktualisierung abgeschlossen
      sein.


Was meinen Sie zu diesem Thema?

Wir freuen uns über Ihren Kommentar.

Schreibe einen Kommentar

* Pflichtangaben; Ihre E-Mail-Adresse wird nicht veröffentlicht.
 

Copyright

Copyright 2015 Bernd Zipper, zipcon consulting GmbH

Archiv