Kürzlich rief mich ein Inter-Netzwerk-Laie an, er müssen unbedingt die Fritz!Box upgraden. Laut der sachlichen Information von Heise haben in der Tat Netzwerk-Leute eine Schwachstelle entdeckt, für den Fall dass der Fritz!Box-Besitzer den Inter-Netzwerk-Zugang zur Konfiguration freigegeben hatte. 

Router-Hack: Was Fritzbox-Besitzer jetzt machen müssen | heise Netze

… dass die Angreifer einen Weg gefunden hatten, an der Authentifizierung beim Fernzugriff auf die Fritzbox vorbeizukommen: Der Zugriff war ganz ohne Zugangsdaten möglich. Die Angreifer konnten auf der Fritzbox schalten und walten, ohne auch nur ein Passwort eingeben zu müssen. Das Problem betrifft alle Fritzboxen, bei denen der Nutzer die Funktion Fernzugriff aktiviert hat.

Nun haben die Kollegen von Heise nachgelegt und folgendes herausgefunden.

Jetzt Fritzbox aktualisieren! Hack gegen AVM-Router auch ohne Fernzugang | heise Security

Das Problem lässt sich auch ganz einfach ohne die Fernsteuerfunktion ausnutzen. Somit ist die Schwachstelle deutlich gefährlicher, als bislang angenommen.

Bei der Suche nach vernüftigen Informationen bin ich über jenen alten Artikel gestolpert.

Firmware-Trojaner | Telepolis

Weniger bekannt ist, dass sich Überwachungssoftware auch über automatische Firmware-Updates verbreiten lässt. Ein Einfallstor dafür ist die Router-Schnittstelle TR-069, die Fernzugriff auf Konfiguration und Logfiles bietet, und es ermöglicht, die Firmware ohne Zutun des Benutzers zu ändern.