Bislang war in den Erklärungen von AVM zu den kürzlich entdeckten Sicherheitsproblemen der Fritzbox immer von Angriffen über die Fernsteuerfunktion die Rede. Eine Analyse der kürzlich veröffentlichten Sicherheits-Updates durch heise Security bestätigte jedoch unsere Vermutung: Das Problem lässt sich auch ganz einfach ohne die Fernsteuerfunktion ausnutzen. Somit ist die Schwachstelle deutlich gefährlicher, als bislang angenommen.

Mit Unterstützung des Reverse-Engineering-Spezialisten Hanno Heinrichs konnten wir die genaue Position der Schwachstelle in den verwundbaren Firmware-Versionen identifizieren, die AVM bislang nicht weiter dokumentieren wollte. Sie hat nichts mit der Fernsteuerung zu tun. Ein Angreifer erhält durch diese Lücke die vollständige Kontrolle über den Router und kann beliebige Befehle mit Root-Rechten ausführen – und zwar schon dann, wenn das Opfer hinter der Fritz!Box eine Web-Seite mit seinem Schadcode aufruft.

Bei Problemen mit der Wiedergabe des Videos aktivieren Sie bitte JavaScript

Web-Seite attackiert Fritz!Box

Wir entwickelten eine Proof-of-Concept-Webseite, die die Fritzboxen ihrer Besucher attackiert. Ruft man die Seite mit einem Rechner im Netz der Fritzbox auf, führt diese fremdgesteuert einige Befehle aus, die unter anderem dafür sorgen, dass die Konfigurationsdatei des Routers auf einen externen Server kopiert wird. Diese Datei enthält neben dem Administrations-Passwort der Fritzbox auch viele andere sensible Daten im Klartext, etwa die DSL- und DynDNS-Zugangsdaten.

Bei einem echten Angriff könnte dies dramatische Folgen für den Router-Betreiber haben: vom Missbrauch der Zugangsdaten für kostspielige Anrufe ins Ausland – durch die innerhalb von Minuten ein Schaden in Höhe von mehreren Hundert Euro entstehen kann – bis hin zur Installation eines Router-Trojaners, der den Internet-Traffic nach Zugangsdaten durchforstet ist alles möglich.

Dabei ist es ganz einfach, sich zu schützen: Fritzbox-Besitzer, die noch immer nicht eine der aktuellen Firmware-Versionen eingespielt haben - und davon soll es noch viele geben -, sollten das deshalb jetzt dringend nachholen. Das geht recht einfach über den Aktualisierungs-Assistenten, über mögliche Nebenwirkungen wurde bislang nichts bekannt. Nachdem etwa die Hälfte aller in Deutschland betriebenen Router von AVM stammt und längst nicht alle die Updates eingespielt haben, ist die Zahl der potenziellen Opfer gewaltig. So ist es nur eine Frage der Zeit, bis die Lücke auch in die Waffenarsenale mittelmäßig begabter Cyber-Gangster aufgenommen wird. (rei)