De firmware van Fritzbox-routers bevat een kwetsbaarheid die aanvallers inzage kan geven in de structuur van lokale netwerken. Via het lek is informatie over op de router aangesloten apparaten te achterhalen, zoals mac- en ip-adressen.
Het lek is met de techniek dns-rebinding uit te buiten. Een aanvaller kan een website maken om hostnamen, ip-adressen en mac-adressen apparaten in een netwerk te verzamelen, en te monitoren of een apparaat verbonden is met de router. Dit gebeurt door met JavaScript functies van de router aan te roepen waarvoor geen authenticatie nodig is. De configuratie-interface is aan het ipv6-adres van de Fritzbox gebonden en de ingebouwde dns-rebinding-bescherming werkt daarbij niet, schrijft Heise.
Tot een update beschikbaar is, kan een gebruiker als workaround dan ook de ipv6-ondersteuning van de Fritzbox tijdelijk uitschakelen. Een komende firmware-update verhelpt het probleem, belooft AVM. De ontdekker van het lek, Birk Blechschmidt, claimt AVM op 17 maart ingelicht te hebben over het probleem, maar vervolgens drie maanden niks meer gehoord te hebben. AVM laat aan Heise weten het als een risico van de laagste categorie te beschouwen. Niet bekend is op welke Fritzbox-modellen de kwetsbaarheid betrekking heeft. In Nederland levert Xs4all Fritzbox-routers aan klanten.
Update maandag 10 juli, 11.45: AVM heeft een security-notificatie gepubliceerd.Het bedrijf benadrukt dat het niet mogelijk was om iot- of andere apparaten binnen netwerken te benaderen en dat het niet mogelijk was om instellingen of data van de Fritzbox in te zien.