Warnung vor Sicherheitslücke in Fritz-Boxen mit älterer Firmware
Betroffen sind AVM-Router, auf denen eine frühere Version als Fritz OS 6.30 läuft. Bei ihnen ist Remotecodeausführung über einen Pufferüberlauf möglich. Angreifer können dann den Datenverkehr mitlesen oder auf Kosten des Angegriffenen telefonieren.
AVM-Router, auf denen eine frühere Firmware-Version als Fritz OS 6.30 installiert ist, können über einen Pufferüberlauf angegriffen werden. Die Schwachstelle hatte die Aachener Firma RedTeam Pentesting Ende Februar 2015 entdeckt und einen Monat später dem Hersteller gemeldet. Der hatte daraufhin im Laufe des vergangenen Jahres nach und nach fehlerebereinigte Updates veröffentlicht. Nachdem RedTeam Pentesting die Lücke jetzt veröffentlicht hat, sollten alle Nutzer, die noch eine ältere Firmware verwenden, auf die neueste, für ihren AVM-Router verfügbare Version umsteigen.
Durch Ausnutzen der Schwachstelle können sich Angreifer nämlich Rootrechte verschaffen und so den Datenverkehr mitlesen oder auf Kosten des Nutzers telefonieren, falls der Router für Telefonie eingerichtet ist. Denkbar sind auch Anrufe bei teuren Sonderrufnummern. Um sich dauerhaft Zugang zu anfälligen AVM-Routern zu verschaffen, könnten Angreifer auch Backdoors installieren, wie RedTeam Pentesting erklärt.
Um die Buffer-Overflow-Lücke im Dienst dsl_control auszunutzen, müssen Dritte allerdings entweder direkten Zugang zur Fritz Box haben – etwa innerhalb des LAN-Netzes – oder den Anwender auf eine manipulierte Website locken, die mittels Cross-Site Request Forgery (CSRF) auf den Dienst im lokalen Netz verweist. Anschließend sind sie in der Lage, beliebigen Code mit Rootrechten auszuführen, um etwa Geräte im lokalen Netz anzugreifen.
Die Schwachstelle betrifft die Fritz-Box-Modelle 3272, 7272, 3370, 3390, 3490, 7312, 7412, 7320, 7330 (SL), 736x (SL) und 7490, sofern sie mit einer ältere Firmware-Version als 6.30 laufen. Für die Fritz-Boxen 7360 und 7490 hatte AVM bereits Mitte Juli 2015 eine aktualisierte Firmware veröffentlicht, für die anderen Modelle Anfang Oktober. In den Sicherheitshinweisen zu Fritz OS 6.30 heißt es dazu: “Command-Injection-Mögichkeit aus dem LAN beziehungsweise über CSRF behoben.”
Für die Fritz Box 7490 steht seit Dezember bereits Fritz OS 6.50 zum Download bereit. Es bringt laut Hersteller über 120 Neuerungen und Verbesserungen. Für die Fritz Box 7390 ist eine sogennante Labor-Version verfügbar, die sich aber an erfahrene Anwender richtet. Andere Modelle werden die Aktualisierung in den nächsten Wochen erhalten. Sie bringt unter anderem eine umgestaltete Benutzeroberfläche, eine verbesserte Heimnetzübersicht und neue Telefonie- sowie WLAN-Optionen mit.
[mit Material von Björn Greif, ZDNet.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de