Werbung
Die von AVM Anfang des Monats publik gemachte Sicherheitslücke in Fritz!Box-Routern ist größer, als bislang angenommen wurde. Konnten Angreifer dem Berliner Unternehmen zufolge lediglich über die Fernzugriffsfunktion unbefugten Zugang zur Fritz!Box erlangen, soll dies laut heise Security auch auf einem anderen Weg möglich sein.
Denn gemeinsam mit dem Reverse-Engineering-Spezialisten Hanno Heinrichs konnte man herausfinden, dass schon der Aufruf einer manipulierten Webseite mit einem PC ausreicht, der mit einer Fritz!Box verbunden ist. Der Schadcode der Seite führt automatisiert mehrere Befehle aus und überträgt die Konfigurationsdatei des Geräts an einen Server. Das Problem dabei: Die Datei enthält zahlreiche Daten, unter anderem auch das Administrations-Passwort - im Klartext. Da der unbefugte Zugriff bis zu diesem Zeitpunkt vom Nutzer nicht erkennbar ist, können die Angreifer mit dem erlangten Daten Zugriff auf den Router erhalten und ihre Schad-Software installieren respektive Telefoniemehrwertdienste und ähnliches einrichten.
heise Security zufolge reicht die Deaktivierung der Fernzugriffsfunktionen wie von AVM empfohlen nicht aus, um sich und die Fritz!Box vor solchen Attacken zu schützen. Erst das Einspielen des vor gut einer Woche bereitgestellten Sicherheits-Updates sorgt für Abhilfe. Klar ist damit aber auch: AVM wusste vom gesamten Umfang der Lücke, hielt die nun gewonnenen Erkenntnisse jedoch zurück.
Unklar ist aber weiterhin, wie die ersten Router kompromittiert wurden. Experten gingen anfangs davon aus, dass der vom BSI Mitte Januar gemeldete Diebstahl von rund 16 Millionen E-Mail-Adressen im Zusammenhang damit stehen könnte. Nun aber gilt auch die zweite Lücke als möglicher Einfallsweg, der von Anfang an genutzt wurde. Offen ist derzeit aber auch noch die genaue Anzahl derjenigen, deren Fritz!Box tatsächlich manipuliert worden ist. Letzten Berichten zufolge soll es sich allein bei Kabel Deutschland um eine Zahl im mittleren dreistelligen Bereich handeln.
Update: In einer Stellungnahme seitens AVM heißt es, dass man die neuen Hinweise nicht kommentieren könne. Allerdings schliesst man aus, dass die nun bekannt gewordene zweite Lücke im Vorfeld missbräuchlich genutzt wurde: „Wie bereits informiert, fanden Angriffe auf die FRITZ!Box ausschließlich von außen über Port 443 statt.“ Eine Begründung für diese Annahme liefert das Unternehmen nicht, weist aber darauf hin, dass das verteilte Sicherheits-Update auch dieses Einfallstor schliesst.