News 08.01.2016, 09:24 Uhr

Schwere Lücke gefährdet Fritz!Box-Nutzer

Viele Fritz!Boxen mit einem älteren OS sind von einer Sicherheitslücke betroffen. Diese erlaubt Angreifern unter anderem, Telefonate auf Kosten des Nutzers zu führen.
Update-Alarm für die Fritz!Box: Die beliebten AVM-Router sind von einer schweren Sicherheitslücke betroffen. Über die Lücke können Angreifer zu Root-Rechten auf der Fritz!Box gelangen und diese nutzen, um etwa Telefonate auf Kosten des Nutzers zu führen oder den Internettraffic zu überwachen.
Betroffen sind die Fritz!Box-Modelle 3272/7272, 3370/3390/3490, 7312/7412, 7320/7330 (SL), 736x (SL) und 7490 mit Fritz-OS-Versionen unterhalb von 6.30. Ein Update auf eine aktuellere Firmware-Version genügt bereits, um den Fehler zu beheben - ein Workaround ohne Update ist nicht bekannt.
Die Sicherheitslücke wurde vom Aachener Sicherheitsunternehmen RedTeam Pentesting GmbH bereits Ende Februar 2015 entdeckt und einen Monat darauf an AVM weitergeleitet. Von Juni bis Oktober veröffentlichte der Hersteller hierauf die Patches für alle betroffenen Modelle. Um die Fritz!Box-Nutzer nicht unnötig zu gefährden, wurde mit der Offenlegung der Lücke bis zum 7. Januar 2016 gewartet.

Fritz!Box umgehend aktualisieren

Bei der Lücke handelt es sich um einen Buffer Overflow (Speicherüberlauf) im Dienst  dsl_control listens auf dem Port 8080. Diesen können Angreifer aus dem lokalen Netz oder über präparierte Webseiten provozieren und anschliessend beliebigen Code mit Root-Rechten auf der Fritz!Box ausführen. RedTeam Pentesting empfiehlt deshalb allen betroffenen Nutzern, möglichst umgehend die Firmware-Updates zu installieren.
Artikel drucken
Kommentare
Avatar
Simon Gröflin
08.01.2016
Guter Punkt. Bei Sunrise heisst es meistens warten. Bin jetzt aber nicht mehr sicher, ob das bei allen Boxen der Fall ist. Hier ein Statement von Sunrise-Mediensprecher Roger Schaller auf genau diese Frage von mir (vom Mai 2015): Die Kunden erhalten fortlaufend die geprüfte und freigegebene Software von AVM. Sollte es bei der Sunrise-Abnahme des neuen AVM Updates zu Problemen mit den Sunrise-Produkten kommen, kann dieser Update nicht an die Kunden geliefert werden. Sunrise meldet diese Probleme an AVM, welche dann entsprechende Korrekturen meist beim nächsten Update nachliefert. Sprich: Genau deswegen dauerts (leider) in der Regel länger. Ich nehme an, es hat sich derweil nicht viel geändert. Beste Grüsse Simon Gröflin
Avatar
Tweety
08.01.2016
Meine Fritzbox hat nach über einem Jahr noch immer das gleiche OS drauf (von Sunrise)! Aber diesmal steht ja auch nichts von 7390, oder hab ich das falsch gelesen? Fänds aber trotzdem nur mehr als recht, wenn die die FB mal endlich updaten würden!! Sie behaupten ja, dass eine "normale" FB nicht funktionieren würde. Müsste man echt mal ausprobieren :-)
Avatar
Geoffrey
08.01.2016
Wenn Fritzboxen an Sunrise Anschlüssen nicht laufen, dann ist das ein Fehler der auf spezielle Eigenschaften bei Sunrise zurückzuführen ist weil irgend etwas aussehalb des Standards konfiguriert ist. Solches wird vor allem gemacht um dem Kunden die Hardwareauswahl zu erschweren oder zu verunmöglichen. Werden deshalb Sicherheitsupdates verzögert, ist das ein schwerer Mangel, den man als Kunde nicht einfach so hinnehmen sollte. Geoffrey
Avatar
zplan
08.01.2016
Aber diesmal steht ja auch nichts von 7390, oder hab ich das falsch gelesen? Ich habe aber die 7490 von Sunrise!
Avatar
Tweety
08.01.2016
@zplan Du hast eine 7490 von Sunrise? Wow, mir wurde gesagt, die funktioniere nicht. Oder hast du Glasfaser? Aber so oder so; die FBs von Sunrise werden einfach nicht upgedatet. :-(
Avatar
Münger
08.01.2016
Fritz Box 7390 (Sunrise) Hallo Im Menu Assistenten anklicken! dann Update. neuste Version (bei mir) FRITZ!OS: 06.05
Avatar
Tweety
08.01.2016
Version 6.05 hab ich schon seit Beginn :-) Und sonst updaten geht nicht, hab das schon probiert. Ist von Sunrise auch so gewollt.
Avatar
Xcat
08.01.2016
Update von Sunrise-Fritzboxen Wie sieht es eigentlich mit Updates aus für die Sunrise Fritzbox? Diese kann man ja nicht selber aktualisieren? Doch, man kann. Im Browser eingeben: http://fritz.box/system/update_file.lua Einfach darauf achten, dass der Provider immer noch Änderungen durchführen darf auf der Box (Internet / Account Information / Provider Services). http://fritz.box/system/update.lua sucht nach freigegebenen Updates, wobei diese nicht immer angezeigt werden. Die Update-Files (für den ersten Link) lassen sich auf ftp://ftp.avm.de runterladen. Darauf achten, dass die CH-Version verwendet wird!
Avatar
AKP
08.01.2016
Sunrise testet zur Zeit die Version 6.30. Die vorherigen Versionen wurden nicht freigegeben, weil es zu Problemen bei VOIP kommen kann.
Avatar
zplan
08.01.2016
@zplan Du hast eine 7490 von Sunrise? Wow, mir wurde gesagt, die funktioniere nicht. Oder hast du Glasfaser? Yup, habe Glas.
...
Bitte loggen sie sich ein, um einen Kommentar zu verfassen.