Barungar
Well-known member
Hallo zusammen,
auf heise.de gibt es einen Artikel, der endlich etwas mehr Licht in die problematische Sicherheitslücke in der Web-GUI der AVM-Geräte mit Firmware vor Fritz!OS 7.57 liefert.
https://www.heise.de/hintergrund/Fr...iert-Risiken-und-Gegenmassnahmen-9323225.html
Laut dem Artikel ist es möglich auf die Web-GUI zuzugreifen und die Konfiguration der FritzBox zu ändern, ohne das man ein Passwort wissen muss.
Das geht, wenn die Web-GUI der FritzBox im Internet erreichbar ist und (!) es geht auch, mittels Cross-Site-Scripting, wenn die GUI der FritzBox eigentlich nur im lokalen Netz erreichbar ist. Natürlich muss man den Anwender dann dazu bringen, das entsprechende Cross-Site-Script auszuführen. Aber hey... Phishing und dutzende andere Methoden zeigen, dass sowas kein Problem ist den Anwender dazuzubewegen dubiosen Code auszuführen.
Damit ist tatsächlich ein jedes AVM Fritz-Gerät, dass keine abgesicherte Firmware hat - egal ob im Internet oder nicht im Internet erreichbar - grundsätzlich eine Sicherheitsproblem.
auf heise.de gibt es einen Artikel, der endlich etwas mehr Licht in die problematische Sicherheitslücke in der Web-GUI der AVM-Geräte mit Firmware vor Fritz!OS 7.57 liefert.
https://www.heise.de/hintergrund/Fr...iert-Risiken-und-Gegenmassnahmen-9323225.html
Laut dem Artikel ist es möglich auf die Web-GUI zuzugreifen und die Konfiguration der FritzBox zu ändern, ohne das man ein Passwort wissen muss.
Das geht, wenn die Web-GUI der FritzBox im Internet erreichbar ist und (!) es geht auch, mittels Cross-Site-Scripting, wenn die GUI der FritzBox eigentlich nur im lokalen Netz erreichbar ist. Natürlich muss man den Anwender dann dazu bringen, das entsprechende Cross-Site-Script auszuführen. Aber hey... Phishing und dutzende andere Methoden zeigen, dass sowas kein Problem ist den Anwender dazuzubewegen dubiosen Code auszuführen.
Damit ist tatsächlich ein jedes AVM Fritz-Gerät, dass keine abgesicherte Firmware hat - egal ob im Internet oder nicht im Internet erreichbar - grundsätzlich eine Sicherheitsproblem.
