Fritzbox: AVM schließt Sicherheitslücke

Die Angreifer drangen über den Port 443 ein und konnten auch Passwörter entwenden. Der Hersteller stellt Softwareupdates für die ersten Routermodelle bereit und arbeitet an weiteren. Für die Kabelvarianten Fritzbox 6360, 6340 und 6320 Cable erfolgt das Update durch die Kabelnetzbetreiber.

AVM hat die Schwachstelle in den Fritzbox-Routern gefunden, die eine missbräuchliche Telefonnutzung erlaubten. Demnach konnten die Angreifer über den Port 443 eindringen und dabei auch Passwörter entwenden. Wie angekündigt beginnt der Hersteller damit, Softwareupdates für die verschiedenen Modelle bereitzustellen.

Bereits verfügbar sind Updates für die Fritzbox-Modelle 7490, 7390, 7270 v2/v3, 7240 sowie 3272. Die Liste der veröffentlichten Updates soll laufend aktualisiert werden, auch am Wochenende. Eine Anleitung für die Online-Updates ist auf der Website des Herstellers zu finden. Updates für Fritzbox 6360, 6340 und 6320 Cable will AVM „schnellstmöglich“ in Zusammenarbeit mit den Kabelanbietern bereitstellen.

Solange es noch keine Aktualisierung für das jeweilige Gerät gibt, gilt weiterhin die Empfehlung, als vorübergehende Sicherheitsmaßnahme den Internetzugriff über HTTPS (Port 443) abzuschalten und damit den Fernzugriff auf die Fritzbox-Benutzeroberfläche mittels MyFritz zu verhindern. AVM rät außerdem allen Kunden, die den HTTPS-Internetzugriff auf ihre Fritzbox-Geräte aktiviert hatten, zur Sicherheit alle dort hinterlegten Passwörter zu ändern. Zusätzlich seien auch die Kennwörter für Internetdienste von Drittanbietern – wie etwa E-Mail oder Internettelefonie – beim jeweiligen Anbieter zu ändern.

Nach einem Bericht von Radio Bremen sind deutlich mehr Nutzer als zuvor bekannt von den Angriffen betroffen. Während auch das Unternehmen zuvor nur von einigen Dutzend Betroffenen ausging, wurden demnach mindestens mehrere hundert Anwender in Deutschland Opfer der Angriffe. „Wir gehen derzeit von einer mittleren dreistelligen Zahl betroffener Kunden aus“, erfuhr der Sender von Kabel Deutschland.

Von anderen Providern wurden noch keine Fälle bekannt. Kabel Deutschland deutete inzwischen an, es werde die Kunden nicht unbedingt allein auf den Kosten sitzen lassen. „Wir schauen uns die Fälle einzeln an und werden zusammen mit dem Kunden eine kundenfreundliche und kulante Lösung finden“, versicherte das Unternehmen gegenüber dem Radiosender.

Durch oft nur wenige Sekunden dauernde Anrufe in entfernte Länder verursachten die Täter teilweise hohe Telefonrechnungen für die Betroffenen. In einem Fall kamen 4200 Euro durch zahlreiche kurze Telefonate nach den Falkland-Inseln zusammen. Verbindungen wurden etwa auch nach Litauen und Surinam hergestellt, um offenbar von Provisionen zu profitieren. AVM arbeitet mit den Ermittlungsbehörden zusammen, aber eine heiße Spur zu den Tätern scheint es noch nicht zu geben.

Auch die Router anderer Hersteller machen immer wieder durch gravierende Sicherheitslücken auf sich aufmerksam. Das BSI rät den Nutzern von Asus-Routern zur Aktualisierung ihrer Firmware, nachdem Unbekannte tausende IP-Adressen unsicherer Asus-Router veröffentlichten. Obwohl Asus eine fehlerbereinigte Firmware-Version im Juli 2013 veröffentlichte, haben viele Anwender bis heute kein Update eingespielt.

Update 10.2.:
Inzwischen hat AVM Updates für 20 Router-Modelle bereitgestellt. Auch für die internationalen Varianten stehen Firmware-Updates zur Verfügung. Für die Kabelvarianten Fritzbox 6360, 6340 und 6320 Cable erfolgt das Update durch die Kabelnetzbetreiber.

Themenseiten: AVM, Fritzbox, Hacker, Secure-IT

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Fritzbox: AVM schließt Sicherheitslücke

Kommentar hinzufügen
  • Am 10. Februar 2014 um 17:55 von Hänschen

    Na, da zeigt es sich ja mal wieder, dass man seit 20 Jahren aufs richtige Pferd setzt.

    Während andere Hersteller (Namen muss man ja nicht nennen…) lieber mit Tatenlosigkeit glänzen. Na, vor wem die wohl kuschen?!

  • Am 10. Februar 2014 um 8:13 von Mini

    P2Systems auch als Bayern DSL bekannt ist auch betroffen…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *