AVM-Router: Weitere Lücke in der FritzBox-Fernwartungsfunktion
AVM hat eine von heise Security entdeckte Sicherheitslücke im Fernzugriff seiner FritzBoxen geschlossen, durch die Angreifer die volle Kontrolle über den Router – und somit auch den Telefonanschluss – übernehmen konnten.
- Ronald Eikenberg
(Bild: App Store)
Der Berliner Router-Hersteller AVM musste die Sicherheit der Fernwartungsfunktion seiner FritzBoxen erneut nachbessern: Durch eine von heise Security entdeckte Schwachstelle war es möglich, ohne Login-Daten auf die Web-Oberfläche zuzugreifen. Die Lücke klaffte in den MyFritz-Apps für Android und iOS.
Wer eine der Apps in einem fremden Netz benutzte, hat damit unter Umständen auch Hackern administrativen Zugriff auf die FritzBox verschafft. Abhilfe bringen die gerade veröffentlichten MyFritz-Versionen. Wer die Apps einsetzt, sollte sie dringend auf den aktuellen Stand bringen. Mit den aktuellen Hinweisen zu Lücken in der TR-069-Fernwartungsfunktion für Provider hat der Fehler aber nichts zu tun
Das Problem
Über die Apps kann man die FritzBoxen aus der Ferne konfigurieren sowie auf Mediendateien und Anruflisten zugreifen. Sie kommunizieren zwar verschlüsselt über HTTPS mit dem Router, haben das ihnen vorgesetzte SSL-Zertifikat bislang aber nicht ausreichend überprüft. So hätte sich ein Angreifer in den verschlüsselten Datenverkehr einklinken und die Session-ID des Nutzers abgreifen können. Mit dieser kann man ohne Login auf das Webinterface der FritzBox zugreifen. Es ist zwangsläufig über das Internet erreichbar, wenn die MyFritz-Funktion aktiv ist.
Wenn ein Angreifer Zugriff auf das Webinterface hat, kann er sich etwa einen Benutzeraccount anlegen, um auch nach Ablauf der Session-ID auf den Router zugreifen zu können. Auch das Mitschneiden oder Umleiten von Datenverkehr oder der Missbrauch des Telefonanschlusses wäre so möglich. Eine Voraussetzungen für den Angriff war, dass der Angreifer den Datenverkehr über sich umleiten kann (Man-in-the-Middle). Dies ist etwa bei Nutzung der MyFritz-App in einem öffentlichen Hotspot-Netz meist problemlos möglich.
Darüber hinaus musste die App Daten übertragen, während der Angreifer (oder sein Skript) auf der Lauer liegt. Die Session-ID wird zum Beispiel beim Start der App verschickt. Wir haben den Angriff simuliert und konnten so eine FritzBox kapern, die per App über das Internet administriert wurde. Da die Lücke noch nicht öffentlich bekannt war, räumten wir AVM ausreichend Zeit ein, um sie vor ihrer Veröffentlichung zu schließen.
Die Lösung
Das Überprüfen des Zertifikats ist im Fall der FritzBox knifflig, weil man es nicht zu einem vertrauenswürdigen Herausgeber (Certificate Authority, CA) zurückverfolgen kann – jede FritzBox betreibt ihre eigene CA namens localhost. Der Hersteller löste das Problem recht elegant durch Certificate Pinning: Die Apps speichern nun beim ersten Verbindungsaufbau den Fingerprint des von der Fritzbox eingesetzten SSL-Zertifikats. Ändert er sich bei einem späteren Kontakt mit dem Router – etwa aufgrund eines Man-in-the-Middle-Angriffs –, erscheint eine Warnmeldung. Damit sich die App auch den richtigen Fingerprint merkt, sollte man den ersten Verbindungsaufbau im Netz der FritzBox anstoßen. Wer bereits eine Verbindung eingerichtet hat, sollte diese sicherheitshalber in der App löschen und neu anlegen.
AVM hatte bereits Anfang des Jahres mit einer Sicherheitslücke in der Fernwartungsfunktion der FritzBoxen zu kämpfen, nachdem Kriminelle einen Weg gefunden hatten, die Router aus der Ferne zu übernehmen und so horrende Telefonkosten zu verursachen. Damals hatten die Täter eine Lücke ausgenutzt, die darauf beruht, dass ein bestimmter URL-Parameter nicht ausreichend vom Webserver des Router überprüft wurde. So konnte man aus der Ferne Shell-Befehle mit Root-Rechten zur Ausführung bringen.
Update vom 25. August 2014: Der Consultant Peter Hämmerlein hatte die Anfälligkeit bereits im November vergangenen Jahres entdeckt und dokumentiert. (rei)
