Schatten

Dienstleistungen

> IT-Security Audit

> Quick Audit

> Penetration Test

> Security Review

> QSEC-Suite

> Projekt Begleitung

> Security Konzepte

> Weiterbildungen


Informationen

> Security News

> INFONEWS

> Anleitungen

> Vorlagen

> Fachartikel

> Links


Firma

> Unternehmen

> Team

> Partner

> Kontakt

> Impressum

Sicherheitslücke im Mediaserver der Fritzbox
22.05.2012

Einige Router der Serie Fritzbox von AVM geben im lokalen Netz ihre Konfigurationsdaten preis, ohne dass dafür eine Zugriffsberechtigung besteht. Im schlimmsten Fall kann so auch das WLAN-Passwort ausgelesen werden. Für zwei betroffene Router gibt es bereits ein Firmwareupdate.

In Verbindung mit ihrem per UPnP arbeitenden Mediaserver können einige Fritzboxen auch vertrauliche Daten weitergeben. Der Fehler wurde von Heise Online veröffentlicht, nachdem die Redaktion den Hersteller AVM davon in Kenntnis gesetzt hatte. Die Lücke soll nicht in der Umsetzung des UPnP-Protokolls selbst stecken, sondern in einem Webserver der “Fritz!Box“.

Über einen Browser sollen sich so durch Eingabe der richtigen URL - die auf ein Verzeichnis des internen Speichers der Fritzbox verweist - Konfigurationsdaten des Routers auslesen lassen. Dabei kann unter noch nicht veröffentlichten Bedingungen auch das WLAN-Passwort im Klartext ausgelesen werden.

Der Fehler liegt an der Art, wie die Fritzbox die Freigabe von Dateien in ihren Voreinstellungen regelt. Wie AVM in einer Beschreibung der Lücke zeigt, sind ab Werk alle Mediendateien auf einem an den Router angeschlossenen USB-Speicher sowie auch der interne Speicher des Routers freigegeben. Um den Fehler zu beheben, reicht es laut AVM bereits, die Freigabe nur für ein bestimmtes Verzeichnis eines USB-Speichers zu erlauben.

Dennoch will AVM die Lücke selbst auch mit neuen Firmwareversionen für die Router schließen. Die bei diesem Unternehmen Labor genannten Betaversionen mit entsprechenden Fixes gibt es bereits für die Fritzboxen mit den Modellnummern 7390 und 7270 v3. Betroffen ist nach Angaben von AVM außerdem die Fritzbox 3270, für die es aber noch kein Update gibt.

Eine vollständige Liste der Router mit dem Fehler gibt es noch nicht. Daher ist auch nicht auszuschließen, dass der Fehler auch in von AVM für Provider hergestellten Routern existiert, welche die Dienstleister unter eigenen Namen vertreiben. So stammen beispielsweise einige Speedport-Router der Telekom von AVM.

AVM weist in seiner Mitteilung zwar darauf hin, dass ein Zugriff auf die Konfigurationsdaten per Internet nicht möglich sei, Heise Online widerspricht dem jedoch. Durch Cross-Site-Scripting sei es vielleicht möglich, Webseiten so zu präparieren, dass sich die Daten auch aus der Ferne auslesen lassen.

Zusätzliche Informationen: AVM: Lösung für UPnP-Zugriff auf Port 49200 | heise online: Fritzbox-Mediaserver verrät Geheimnisse

Quelle: golem.de (Nico Ernst - 22.05.2012)

Zurück
Security News Startseite



Kontakt

GO OUT Production GmbH
Schulstrasse 11
8542 Wiesendangen

Email:
Telefon +41 52 320 91 20


Security News

21.05.2013
Zunahme der Agriffe auf das Domain Name System

15.05.2013
Microsoft und Adobe beseitigen zahlreiche Sicherheitslücken

14.05.2013
Associated Press (AP) von der US-Regierung ausspioniert


Akt. INFONEWS

01.03.2013
INFONEWS 1/13, ITIL


Akt. Fachartikel

07.05.2012
Kommunikation | UZ 5/2012: «Industriespionage auch in der Schweiz»