In Routern der FRITZ!Box-Reihe der Berliner Firma AVM klaffte eine kritische Sicherheitslücke, über die Angreifer das Gerät übernehmen und z.B. auf Kosten des Anschlussinhabers telefonieren konnten.
Anzeige
Die Lücke wurde bereits im Frühjahr 2015 von der Aachener Firma Pentesting entdeckt und an AVM gemeldet. Über die hier beschriebene Schwachstelle konnten Angreifer Root-Rechte übernehmen und den Router für eigene Zwecke konfigurieren. So wäre es kein Problem, die Telefoniefunktion auf Kosten des Anschlussinhabers für eigene Telefonate zu missbrauchen.
AVM hat die Lücken durch Firmware-Updates aber seit Oktober für alle FRITZ!Boxen geschlossen. Gestern wurde die Sicherheitslücke dann durch Pentesting öffentlich gemacht. Nutzer einer FRITZ!Box sollten daher prüfen, ob die neuesten Firmware-Updates auf dem Gerät installiert sind. Hier beispielhaft die Schritte an der (nicht betroffenen) FRITZ!Box 7390:
Ihr geht hierzu in der Konfigurationsoberfläche auf die Kategorie System und dann auf den Unterpunkt Update. Dort finden sich Schaltflächen, um das System auf anstehende Updates zu prüfen und diese auszuführen. Weitere Details finden sich bei heise.de in diesem Artikel.
Ähnliche Artikel:
Update: Patches zur AVM FRITZ!Box-Sicherheitslücke
Windows 10: Anmeldung an FRITZ.NAS geht nicht mehr
Neue FRITZ!OS-Version für FRITZ!Boxen freigegeben
FRITZ!Box-Anwender sollten VoIP-Kennwort ändern
2015
Die Sicherheitslücke wurde schon Tage nach bekanntwerden geschlossen!
Die aktuelle Firmware zB. bei „Fritz!Box 7390“ ist „FRITZ!OS 6.50“
Nicht wie bei anderen Herstellern, bei denen es Wochen dauert, wenn überhaupt was passiert.
Wer die Eistellungen und die Updates nicht regelmäßig überprüft braucht sich nicht zu wundern das sowas passiert.
Die Links wären besser direkt zu „AMD“ gehen sollen:
Service: http://avm.de/service/
Sicherheitshinweis was man kontrollieren soll: http://avm.de/ratgeber/sicherheit/tipps-fuer-zusaetzliche-sicherheit/sicherheits-hinweise-fuer-fritzbox-nutzer/
Hier die Erklärung wie das Update geht: http://avm.de/service/downloads/online-update/
Hier die Downloadseite von „AVM“ zum direkten runterladen:http://avm.de/service/downloads/?product=FRITZ%2521Box%2B7490
Sicherheit: http://avm.de/ratgeber/sicherheit/
Oh habe mich vertan, die Firmware der „Fritz!Box 7390“ ist „FRITZ!OS 6.30“ und die der „Fritz!Box 7490“ ist „FRITZ!OS 6.50“!
Und es waren alle Modelle betroffen, darum gab es auch Updates für nicht mehr unterstützte Geräte.
Der Heise-Artikel geht auf einen Artikel von 1/2015 zurück!
Die Verknüpfung zu Changelog von „AVM“ bei Heise ist denn mal auch nicht aktuell sondern geht auf die aktuelle Firmwareseite (ftp://ftp.avm.de/fritz.box/fritzbox.7490/firmware/deutsch/info.txt) der „Fritz!Box 7490“ vom 12.10.2015.
Also die Lücke ist schon behoben (zB.: FRITZ!Box 7170 mit diesem Link vom 10.02.2014:
http://avm.de/service/downloads/?product=FRITZ%2521Box%2BFon%2BWLAN%2B7170
Ein andere Link von „Heise“ (Anrufe auf Rechnung des Fritzbox-Betreibers durchführen) weist auf einen Artikel von 28.09.2014
und es gibt keine direkte Verlinkung auf die angebliche Quelle da weiß man wohl nicht so recht ob das alles wirklich aktuell ist!
Die Sicherheits-Seite bei „AVM“ sagt Firtz-Produkte nich betroffen https://avm.de/service/aktuelle-sicherheitshinweise/
Hier noch der Link zu einer PDF-Datei der Firma „Check Point Software Technologies Ltd.“ in der alle Router aufgeführt sind die betroffen sind!
http://mis.fortunecook.ie/misfortune-cookie-suspected-vulnerable.pdf
die pdf enthält etliche Namen von Routern, aber weder das wocht avm noch fritz. Um die allein es aber geht („in AVM-FRITZ!Box-Routern“).
hä?!?
Die neuste Firmware für die 7490 ist Fritz!OS: 06.60
Hallo,
die FB 7390 ist entgegen der Darstellung im Bild laut Heise gar nicht von der Lücke betroffen.
Das stimmt zwar – aber soll ich mir jetzt eine FRITZ!Box 7490 holen, um einen Screenshot zum Firmware-Update fabrizieren zu können?
Immer noch besser als die User mit irreführenden Bild-Infos zu verunsichern… ein passendes Bild hätte es bestimmt auch von AVM gegeben.
Im Text steht doch, dass die 7390 nicht betroffen ist.
Sofern dies heute morgen auch so da gestanden hat, nehme ich alles wieder zurück … und behaupte das Gegenteil ;-)))
FYI: Ich habe den betreffenden Satz nachgetragen – um keine Zweifel aufkommen zu lassen …
es gibt zwischenzeitlich auch die Möglichkeit, dass bei vorhandenen Updates eine Info-Mail gepusht wird oder auf Wunsch bzw. je nach Einstellung kann ein automatisches Update durchgeführt werden.
Bei der breiten Masse mit Sicherheit eine sehr sinnvolle Lösung, da diese nicht regelmäßig die Box prüfen oder Blog-/Info-Seiten besuchen.