FritzBox-Sicherheitslücke betrifft auch Nutzer ohne aktiviertem Fernzugriff

Vor ein paar Tagen wurde eine Sicherheitslücke innerhalb der Fritz-OS-Software der FritzBoxen aus dem Hause AVM bekannt, woraufhin AVM schnell reagierte und ein entsprechendes Update bereitgestellt hat, welches aber laut dem BSI (Bundesamt für Sicherheit in der Informationstechnik) nur eine vergleichsweise geringe Zahl an Nutzern installiert worden ist. Bislang wurde dabei jedoch kommuniziert, dass die besagte Sicherheitslücke lediglich für Nutzer mit aktiviertem Fernzugriff von dringendem Interesse sei, die Jungs und Mädels von Heise Security haben nun aber über einer Analyse des Sicherheits-Update herausgefunden, dass nahezu jede FritzBox fast so offen wie ein Scheunentor ist. So können Angreifer über eine präparierte Webseite Schadcode Zugriff auf die FritzBox bekommen und beliebige Befehle mit Root-Rechten ausführen.

Heise Security ist es dabei gelungen, diese Sicherheitslücke testweise auszunutzen und so Konfigurationsdateien der gekaperten FritzBox auf externe Server exportieren – jene Dateien beinhalten zum Beispiel neben dem Administrations-Passwort der Fritzbox auch viele andere sensible Daten im Klartext, etwa die DSL- und DynDNS-Zugangsdaten. Für die Nutzer könnte dies im Ernstfall unschöne Folgen haben, denn neben dem Missbrauch der Zugangsdaten für kostspielige Anrufe ins Ausland wäre auch eine Installation eines Router-Trojaners, der den Internet-Traffic nach Zugangsdaten durchforstet denkbar.

Daher an dieser Stelle noch einmal der Hinweis: Loggt euch kurz einmal auf eurer FritzBox ein und schaut, ob das entsprechende Update für euren Router bereits zur Verfügung steht – klappt ganz einfach und ohne große Kentnisse, für all jene, die sich leicht überfordert fühlen finden seit ein paar Tagen auch ein simples Erklärbär-Video von AVM vor.

Quelle Heise