Sicherheitslücke der FritzBox größer als vermutet

Wie die Kollegen von Heise Security herausgefunden haben, lässt sich die Sicherheitslücke der FritzBoxen auch ohne Fernzugriff ausnutzen.

AVMs Übergangslösung war die Deaktivierung des Fernzugriffs über den Port 443. Die FritzBox lässt sich laut Heise allerdings selbst dann noch manipulieren, nur ein Firmware-Update kann vor der Übernahme durch Dritte und der Manipulation schützen.

Für die Manipulation einer FritzBox, welche nicht auf dem aktuellen Stand ist, soll dabei eine speziell präparierte Website genügen um Schadecode einzuführen. Ein automatisierter Befehl überträgt dann die Konfigurationsdatei der FritzBox, welche unter anderem das Administrationspasswort im Klartext beinhaltet und so den vollen Zugriff auf das Gerät gewährt.

Wie viele Geräte auf diese Weise übernommen wurden ist noch unklar. Kabel Deutschland gibt an, dass es sich bei dem Kabelnetzbetreiber nur um eine mittlere, dreistellige Zahl von Betroffenen handle.

(Bild: Fritzbox von AVM)