AVM stopft Sicherheitsloch in Fritzboxen
Bei der Analyse des jüngsten Firmware-Updates für die Fritzbox machte der von heise Security beauftragte Sicherheitsforscher Hanno Heinrichs eine überraschende Entdeckung: Die FritzOS-Version 6.83 beseitigt einen fatalen, zuvor unbekannten Programmierfehler, der zu einem Pufferüberlauf führt. Ein Angreifer kann solche Fehler fast immer ausnutzen, um das anfällige System zu kapern. Da der betroffene Dienst als root läuft, hätte ein Eindringling weitreichende Manipulationsmöglichkeiten: Er könnte etwa den Datenverkehr mitlesen oder den VoIP-Anschluss seines Opfers für kostspielige Anrufe missbrauchen.
heise Security informierte AVM im März über die Existenz der Sicherheitslücke; in der Folge bemühten sich beide gemeinsam um ein genaueres Verständnis des Sachverhalts.
Schließlich konnte heise Security das Einschleusen und Ausführen von Code mit einem von Heinrichs zusammen mit Robert Femmer und Kristoffer Janke entwickelten Proof-of-Concept-Exploit nachvollziehen und hat den Fritzbox-Hersteller über die Details in Kenntnis gesetzt.
AVM konnte das Einschleusen und Ausführen von Code übers Netz nicht nachstellen. Nach Einschätzung des Herstellers wäre dies insbesondere „bei kundenüblichem Einsatz der Produkte praktisch unmöglich“. Heinrichs hingegen ist der Überzeugung, man könnte seinen nur als Machbarkeitsstudie entworfenen Exploit durchaus mit überschaubarem Aufwand zu einem zuverlässigen Angriffswerkzeug weiterentwickeln.
Von dem Pufferüberlauf betroffen sind die Fritzbox-Modelle 7390, 7490 und 7580 mit den Firmware-Versionen 6.80 oder 6.81. Die Fritzbox-Varianten für Kabel-Breitbandanschlüsse sind laut AVM nicht anfällig. Für Abhilfe sorgt FritzOS 6.83, das AVM seit März an seine Kunden verteilt.
Wer eine Fritzbox betreibt und auch zukünftig auf der sicheren Seite sein möchte, sollte verifizieren, dass die Update-Automatik des Routers aktiv ist. Sie finden die Einstellung im Webinterface der Fritzbox (https://fritz.box) unter System, Update und Auto-Update.
Aktivieren Sie „Über neue FRITZ!OS-Versionen informieren und notwendige Updates automatisch installieren (Empfohlen)“ oder „Über neue FRITZ!OS-Versionen informieren und neue Versionen automatisch installieren“, damit der AVM-Router sicherheitsrelevante Firmeware-Updates automatisch installiert. Laut AVM ist es der Update-Automatik zu verdanken, dass inzwischen kaum noch Router mit der anfälligen Firmware ausgestattet sind. (rei@ct.de)