ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Internet

Sicherheitsleck in Mediaserver von AVMs Fritzbox

Update Michael Günsch
48 Kommentare

Es wurde eine Sicherheitslücke im Mediaserver der Fritzbox-Router von AVM entdeckt. Bei Kenntnis des korrekten Verzeichnispfades können kritische Daten wie zum Beispiel das WLAN-Passwort im Klartext abgefragt werden, ohne dass eine Zugriffsberechtigung benötigt wird, wie Heise berichtet.

Die Medienserver-Funktion der Fritzbox stellt nicht nur Nutzer-Dateien wie Videos oder Musik im lokalen Netzwerk bereit, sondern übermittelt auch im internen Speicher liegende Konfigurationsdateien und bei manchen Modellen auch Passwörter, heißt es. Die Ursache soll in der UPnP-Software liegen, aber nicht direkt diesen Port sondern den Port eines http-Servers betreffen, über welchen die Mediendaten, aber eben auch sicherheitsrelevante Daten abgerufen werden. Bei Kenntnis des Verzeichnispfades könnten sich die Daten per Cross-Site-Scripting vermutlich auch extern über den Browser abrufen lassen, einen Passwortschutz gibt es dafür nicht.

Da das Einschränken der Medien-Freigabe auf bestimmte Verzeichnisse das Problem laut Heise nicht behebe, bleibe zunächst nur das Deaktivieren des Mediaservers übrig um die Lücke zu schließen. AVM äußerte sich zu der Problematik und weist darauf hin, dass „unter anderem die FRITZ!Box-Modelle 7390, 7270 und 3270“ betroffen sind. Derzeit lässt sich nicht ausschließen, dass sämtliche Modelle der Fritzbox-Reihe, welche über die Medienserver-Funktion verfügen, betroffen sind, auch die über Internet-Provider vertriebenen Geräte könnten dazugehören.

Deaktivieren des Mediaservers bei AVMs Fritzboxen
Deaktivieren des Mediaservers bei AVMs Fritzboxen (Bild: AVM)

Während AVM versichert, dass ein Zugriff auf die vertraulichen Daten außerhalb des lokalen Netzwerks nicht möglich sei, spricht Heise von der oben erwähnten Zugriffsmöglichkeit per Cross-Site-Scripting. Nachdem die Kollegen den Hersteller auf die Sicherheitslücke aufmerksam gemacht hatten, hatte dieser mit vorläufigen Firmware-Updates beziehungsweise Beta-Versionen für die Modelle 7390 und 7270 reagiert, welche jedoch in einem Experiment durch Heise keine Besserung zeigten. Laut AVM soll der Zugriff auf die Konfigurationsdateien in künftigen (finalen) Firmware-Versionen unterbunden sein. Bis dahin bleibt aber offenbar nur das Deaktivieren des Mediaservers übrig, um das Sicherheitsleck zu stopfen. AVM selbst zeigt in obiger Abbildung, wie das zu erfolgen hat.

Update

AVM hat eine neue Beta-Firmware im sogenannten Fritz!Labor bereitgestellt, welche für die Fritzbox-Modelle 7390 und 7270v3 konzipiert ist und die oben beschriebene Sicherheitslücke beheben soll. Der AVM-Artikel zur Problematik wurde entsprechend aktualisiert.

Danke an Dave Nup für den Hinweis zum Update!

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz