Fritzbox-Sicherheitsleck analysiert: Risiko sogar bei deaktiviertem Fernzugriff
AVM schließt bei vielen Fritzboxen eine Sicherheitslücke. Unserer Analyse zufolge lässt sie sich aus der Ferne ausnutzen – sogar mit abgeschaltetem Fernzugriff.
(Bild: c't)
- Ronald Eikenberg
Der Router-Hersteller AVM zog viel Aufmerksamkeit auf sich, als er Anfang September "notwendige Stabilitäts- und Sicherheitsupdates" für viele Fritzbox-Modelle herausgab, ohne weitere Details zu nennen. Darunter finden sich auch Updates für ältere Router wie die Fritzbox 7390, die vor fast 15 Jahren erschienen ist. Das spricht dafür, dass der Hersteller die Sicherheit seiner Router sehr ernst nimmt – aber auch dafür, dass die Updates ein ernst zu nehmendes Sicherheitsproblem beseitigen.
AVM erklärte zu den Updates lediglich, dass die Installation in der Regel automatisch über die Bühne geht. Kunden, die die vom Hersteller vorgegebenen Update-Einstellungen verändert haben – und deren Router deshalb nicht automatisch mit der abgesicherten Firmware versorgt werden – "wird die zeitnahe Installation der aktuellen FRITZ!OS-Version empfohlen". Einzelheiten will die Firma erst "zu einem späteren Zeitpunkt" nennen.
Diese Kommunikationsstrategie ist in Security-Kreisen durchaus umstritten, da Anwender und Administratoren im Unklaren bleiben. Gibt es eine Sicherheitslücke? Wenn ja, wird sie bereits ausgenutzt? Welche Geräte und Konfigurationen sind betroffen? Um die offenen Fragen zu klären, fragten wir bei AVM nach. Wir bekamen auch zügig eine Rückmeldung, allerdings nicht die erhofften Antworten: "Die vorsorgliche Stabilität und Sicherheit ist uns sehr wichtig, haben Sie bitte Verständnis, dass wir momentan keine weiteren Informationen geben möchten."
Doch im Internet finden sich bereits viele öffentlich zugängliche Details zum Sachstand. Die zuverlässigste Quelle ist der Warn- und Informationsdienst des Computer Emergency Response Teams für Bundesbehörden (CERT-Bund), der am 5. September das Advisory WID-SEC-2023-2262 veröffentlicht hat. Demnach ermöglicht eine Fritzbox-Schwachstelle von hohem Schweregrad (CVSS Base Score 7.3 von 10) einen "nicht spezifizierten Angriff" aus der Ferne (Remote). Der Angreifer kann die Schwachstelle also über das Internet ausnutzen. Betroffen sind laut dem Advisory alle FritzOS-Versionen, die älter als 7.57 sind. Es handelt sich demnach um ein ernstes Sicherheitsproblem, das alle Fritzbox-Router betrifft.
Italienische Informationshäppchen
Spekulationen über weitere Hintergründe finden sich im italienischen Forum FibraClick. Dort tauschen sich Nutzer über Provider und die zugehörige Zugangstechnik aus. Schon mehr als eine Woche vor Veröffentlichung der ersten Firmware-Updates tauchte dort ein Beitrag über eine angebliche schwerwiegende Schwachstelle der Fritzbox 7590 und darauf erfolgte Angriffe auf. Der Nutzer edofullo schreibt, dass er in Branchenkreisen davon erfahren habe und es nicht auszuschließen sei, dass die Sicherheitslücke auch andere Fritzboxen betrifft. Es sei Angreifern möglich, "die Konfiguration des Geräts zu ändern, wahrscheinlich durch die Freigabe von Ports im Internet."
Bei den beschriebenen Attacken sollen die Onlinezugangsdaten gelöscht und somit die Router vom Internet abgeschnitten worden sein. Zudem sollen Zugangsdaten für die Weboberfläche geändert worden sein, sodass Nutzer ihre AVM-Router nicht mehr konfigurieren konnten. Außerdem zitiert edofullo eine englischsprachige Mitteilung, die von AVM stammen soll. Demnach habe der Routerhersteller Fritzboxen mit diesen Funktionsstörungen untersucht. Auf allen sei das Webinterface über den HTTPS-Standard-Port 443 aus dem Internet erreichbar gewesen.
Updates en masse
Während die Diskussion im FibraClick-Forum hochkochte, setzte AVM anscheinend alle Hebel in Bewegung, um der Situation Herr zu werden. Am 4. September erschienen bekanntlich erste "Stabilitäts- und Sicherheitsupdates" – nicht nur für die Fritzbox 7590, sondern für viele weitere Router. Inzwischen hat der Hersteller auch bei manchen Fritz-Repeatern die „Stabilität und Sicherheit erhöht“.
Doch was bedeutet das ganz konkret? Die Antwort darauf lieferte uns ein Informant, der die abgesicherte FritzOS-Version 7.57 mit der Vorversion verglichen hatte. Dies ist auch bei Angreifern eine gängige Praxis: Anhand der Änderungen in den öffentlich verfügbaren Dateien kann der geschulte Blick schnell den verwundbaren Code identifizieren, ganz ohne Informationen des Herstellers.
Trotz abgeschalteter Fernwartung anfällig
Und so hatte unser Informant nach wenigen Stunden alle relevanten Details über die Schwachstelle gefunden. Anhand dieser Informationen konnten wir die bereits kursierenden Angaben über die Sicherheitslücke verifizieren. Es versteht sich von selbst, dass wir keine neuen Details veröffentlichen, die Angriffe erleichtern könnten. Nur so viel: Die Updates stopfen offenbar tatsächlich ein Sicherheitsleck im Webserver, durch das Angreifer die Konfiguration der Fritzbox überschreiben können. Die Schwachstelle lässt sich unabhängig vom eingestellten Port ausnutzen und betrifft auch andere Fritzbox-Modelle als die 7590 und sogar Repeater.
Die wichtigste Erkenntnis unseres Informanten ist jedoch, dass sich die Lücke selbst dann ausnutzen lässt, wenn der Fernzugriff auf das Webinterface deaktiviert ist. Dafür muss der Angreifer sein Opfer lediglich auf eine Website lotsen, die auf das Webinterface im internen Netz verweist, etwa durch Cross-Site-Request-Forgery (CSRF) oder schlicht durch eine Umleitung. Deshalb reicht es als Schutzmaßnahme nicht aus, den Onlinezugriff auf das Webinterface abzuschalten. Auch ein langes, kompliziertes Zugriffspasswort schützt nicht vor einer Attacke, weil der Angreifer gar kein Passwort benötigt.
