Digital Eliteboard

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

Hardware & Software Akute Angriffswelle auf Fritzbox-Nutzer, jetzt handeln!

Mysteriöse Zugriffsversuche von der IP-Adresse 185.232.52.55 verunsichern derzeit zahlreiche Fritzbox-Nutzer. Schützen Sie Ihren Router vor der Angriffswelle.

Fritzbox-Router sind derzeit offenbar einer massiven Angriffswelle ausgesetzt, deren Ziel die Übernahme der Geräte ist. Die Angriffe gehen stets von der IP-Adresse 185.232.52.55 aus, die schon mehrfach auffällig geworden ist. Wer einen AVM-Router betreibt, sollte sicherstellen, dass ein sicherer Betrieb gewährleistet ist.

Unbenanntki.jpg

Zahlreiche Leser berichteten uns von beunruhigenden Aktivitäten im Ereignis-Log Ihrer Fritzboxen: Etliche Anmeldeversuche auf der Fritzbox-Benutzeroberfläche belegen, dass jemand mit Nachdruck versucht, die Kontrolle über den Router zu gewinnen. Die Häufung der Leserhinweise deutet darauf hin, dass es sich um einen groß angelegten Angriff handelt und die Täter bereits über einen längeren Zeitraum große IP-Adressbereiche attackieren.

Benutzernamen durchprobiert

Die Angreifer wählen Ihre Ziele offenbar zufällig aus: Aus den Log-Einträgen geht hervor, dass wahllos zahlreiche Mail-Adressen als Benutzernamen durchprobiert werden. Die Mail-Adressen stammen vor allem von Nutzern aus Deutschland, wie an der Domainendung .de erkennbar ist. Woher die durchprobierten Logindaten stammen, ist bislang unklar.

Betroffen sind Fritzbox-Nutzer, deren Router-Oberfläche über das Internet erreichbar ist. Dies ist der Fall, wenn in den Fritzbox-Einstellungen (
Bitte, Anmelden oder Registrieren um URL-Inhalte anzeigen!
) unter "Internet / Freigaben / FRITZ!Box-Dienste" die Option "Internetzugriff auf die FRITZ!Box über HTTPS aktiviert" eingeschaltet ist. Oft ist der Fernzugriff in Kombination mit dem AVM-Dienste MyFRITZ! aktiv.

Bitte, Anmelden oder Registrieren um URL-Inhalte anzeigen!

Hunderte Beschwerden: Von der IP-Adresse 185.232.52.55 gehen unzählige Zugriffsversuche auf AVM Fritzboxen aus.

(Bild: AbuseIPDB)

Wer hinter der Angriffswelle steckt, ist derzeit noch unklar. Im Netz finden sich zahlreiche Berichte besorgter Nutzer, die ebenfalls Zugriffsversuche von der IP-Adresse 185.232.52.55 bemerkt haben. Die ersten Berichte stammen bereits aus dem Sommer 2020, was darauf hindeutet, dass die Angriffe bereits seit Monaten laufen. Bei dem IP-Abuse-Verzeichnis AbuseIPDB verzeichnet inzwischen fast 300 Beschwerden über die IP, zumeist handelt es sich um Zugriffsversuche auf Fritzboxen.

Fritzbox absichern

Um vor solchen und weiteren Attacken geschützt zu sein, sollten Sie Ihre Fritzbox so sicher wie möglich konfigurieren. Elementar wichtig ist, dass auf der Fritzbox die aktuelle Firmware (FRITZ!OS) installiert ist. Sie können den aktuellen Stand der Dinge unter "System / Update" in Erfahrung bringen und dort auch ein Update anstoßen, sofern Ihr Router noch nicht mit der aktuellen Firmware ausgestattet ist. Stellen Sie auf der Unterseite "Auto-Update" mindestens die "Stufe II" ein, damit die Fritzbox automatisch sicherheitsrelevante Update einspielt.

Einen Überblick über die aus dem Internet erreichbaren Dienste liefert Ihnen die Router-Oberfläche über den Sicherheitscheck, den Sie über "Diagnose / Sicherheit" erreichen. Unter "FRITZ!Box-Dienste" listet der AVM-Router dort alle Dienste auf, die für Zugriffe von außen freigegeben sind. Kontrolliereren Sie bei dieser Gelegenheit hier auch die "Portfreigaben auf Heimnetzgeräte", da auch andere Geräte in Ihrem Netzwerk, die von außen erreichbar sind, problematisch sein können. Im besten Fall sind keine Dienste direkt aus dem Internet erreichbar, da jeder Dienst ein potenzielles Sicherheitsrisiko darstellt. Schalten Sie also alle Freigaben ab, auf die Sie verzichten können.

Sicheres Passwort

Bitte, Anmelden oder Registrieren um URL-Inhalte anzeigen!


Über den Sicherheitscheck der Fritzbox verschaffen Sie sich schnell einen Überblick über den aktuellen Stand der Dinge.

Wer auf den Fernzugriff nicht verzichten kann oder möchte, sollte sicherstellen, dass der Fritzbox-Benutzeraccount mit einem möglichst langen Passwort geschützt ist, das nur für diesen Zweck eingesetzt wird. Sie können das Passwort unter "System / FRITZ!Box-Benutzer" ändern. Weiterhin kann es helfen, einen individuellen Nutzernamen einzusetzen und die Fritzbox-Oberfläche über einen alternativen Port erreichbar zu machen. Ist der HTTPS-Standardport 443 gesetzt, dann ist das Webinterface für Angreifer sehr leicht auffindbar. Ein abweichender Port kann unbefugte Zugriffsversuche zwar nicht verhindern, aber zumindest erschweren.

Sinnvoll sind auch die Schutzfunktionen unter "Zusätzliche Bestätigung": Die Option "Ausführung bestimmter Einstellungen und Funktionen zusätzlich bestätigen" bewirkt, dass kritische Änderungen der Router-Einstellungen extra bestätigt werden müssen, zum Beispiel, indem Sie eine Taste der Fritzbox drücken oder eine Tastenkombination in ein an die Fritzbox angeschlossenen Telefone tippen. Über "Bestätigung über Google Authenticator App aktivieren" können Sie zudem Ihren Fritzbox-Account durch einen zweiten Faktor schützen, sofern Ihr Fritzbox-Modell dies unterstützt.

Verdächtige Ereignisse entdecken

Unter "System / Ereignisse" können Sie überprüfen, ob es bei Ihrer Fritzbox ebenfalls zu auffäligen Anmeldeversuchen kam. Wählen Sie oben am besten "Alle" aus, um sämtliche Ereignisarten anzeigen zu lassen. Dann erfahren Sie beispielweise auch, ob jemand versucht hat, sich mit einem falschen Passwort mit Ihrem WLAN zu verbinden.

Weitere Tipps zur sicheren Konfiguration des Routers, sicheren Passwörtern und vielem mehr liefern Ihnen unsere c't-Security-Checklisten, die Sie unter
Bitte, Anmelden oder Registrieren um URL-Inhalte anzeigen!
anrufen können.

Wir haben AVM am Montagvormittag um eine Stellungnahme zu der aktuellen Angriffswelle gebeten und werden diesen Artikel aktualisieren, wenn der Hersteller ergänzende Informationen bereitstellt.

Update vom 1. März, 14:30: AVM erklärte gegenüber heise Security: "Es handelt sich nicht um eine Angriffswelle, es sind erfolglose Anmeldeversuche, also Rateversuche." Aus Ereignisprotokollen, die Kunden mit dem Unternehmen geteilt haben, geht hervor, "dass die probierten Zugangsdaten nicht auf der FRITZ!Box des Kunden passen und keinen Bezug zum Gerät des Kunden haben." AVM verweist auf seinen Servicebereich, in dem sich
Bitte, Anmelden oder Registrieren um URL-Inhalte anzeigen!
finden.

Quelle; heise
 
Zuletzt bearbeitet:

The_Wanderer

Ist oft hier
Registriert
23. Februar 2020
Beiträge
131
Lösungen
1
Punkte Reaktionen
146
Erfolgspunkte
73
Hallo.

Habe gerade im Systemprotokoll der FritzBox nachgesehen - bis jetzt noch keine Hinweise auf einen möglichen Angriff.
Hoffentlich bleibt es auch so. Jedenfalls werde ich nun regelmäßiger die System-Logs überprüfen.

Viele Grüße,
Rudi
 

modino2711

Elite Lord
Registriert
2. Oktober 2009
Beiträge
3.230
Lösungen
1
Punkte Reaktionen
1.883
Erfolgspunkte
393
das ist ja nix neues, ich hatte im letzten jahr auch 2 Versuche.
Die ersten Berichte stammen bereits aus dem Sommer 2020
die Ip 185.232.52.55 war identisch, hatte mir das mal abgespeichert.
nur die banale aufforderung," jetzt handeln ", ist gut, sollte besser heissen,
"vorher handeln " !
 
Zuletzt bearbeitet:

DVB-T2 HD

Elite Lord
Registriert
13. April 2016
Beiträge
4.964
Lösungen
2
Punkte Reaktionen
4.720
Erfolgspunkte
393
Kommt auf den Internet-Provider an, wie stark man von solchen „Einbruchsversuchen“ betroffen ist. Ist so meine Erfahrung, dass man bei Kabel-Internet da sehr viel mehr betroffen ist als bei A/VDSL der Telekom. Seh ich so in den Protokollen der Lancom-Ruoter in der Firma und da geht es nicht nur um Web-Logins in Fritz!Boxen o.ä. Beim Internetanschluss von TeleColumbus/Pyur ist es so schlimm, dass das Protokoll der Intruder-Angriffe täglich überläuft. Durchgekommen ist jedenfalls noch niemand.
 

ash1

Spezialist
Registriert
26. Juli 2009
Beiträge
637
Punkte Reaktionen
298
Erfolgspunkte
133
Das geht bei mir und meinem Schwager schon seit Monaten so.
 

FatherOfDeath

Meister
Registriert
27. September 2010
Beiträge
776
Punkte Reaktionen
765
Erfolgspunkte
163
Da ich in unserem Verein auch den Router warte und von zu Hause aus den täglichen Zugriff mache, um zu
sehen, ob die Box noch läuft, kann ich berichten, dass im Herbst letzten Jahres über gut eine Woche über
100 Angriffe von besagter IP-Adresse darauf erfolgt ist. Habe dann den Fernzugriff für einige Tage deaktiviert
und danach war Ruhe.
 
OP
josef.13

josef.13

Moderator
Teammitglied
Registriert
1. Juli 2009
Beiträge
22.389
Lösungen
1
Punkte Reaktionen
29.218
Erfolgspunkte
1.083
Ort
Sachsen
Angriffswelle auf die Fritzbox: Das sagt AVM dazu

Die FritzBox von AVM ist einer der am häufigsten genutzten Router in Deutschland – und entsprechend ein beliebtes Angriffsziel für Hacker. Aktuell gibt es Berichte über eine vermeintliche Angriffswelle. Was steckt dahinter und was sagt AVM dazu?

Es geht bei den Berichten im Kern darum, dass Nutzer einer FritzBox in ihrem Systemprotokoll gescheiterte Anmeldeversuche aus dem Internet gefunden haben. Das heißt, jemand hat versucht, sich von extern als FritzBox-Benutzer anzumelden um die Kontrolle zu übernehmen. Möglich ist das grundsätzlich, weil die FritzBox auch für dich als Nutzer auf Wunsch aus dem Internet erreichbar ist – etwa für die Fernwartung.

Nun hat aber ein externer Angreifer hoffentlich nicht deine Zugangsdaten. Daher muss er sie erraten. Dabei dient ihm als Basis offenbar eine E-Mail-Adresse, deren Existenz er kennt oder vermutet. Das Passwort rät er. Ist es falsch, kommt es im FritzBox-Protokoll zu dieser Meldung: „Anmeldung des Benutzers […] gescheitert“.

Den Berichten nach handelt es sich um die IP-Adresse 185.232.52.55 von der die Anmeldeversuche ausgehen sollen. Das Bemerkenswerte dabei: Laut heise laufen derartige Versuche schon seit dem Sommer vergangenen Jahres von dieser Adresse. Registriert ist sie augenscheinlich auf eine Firma von den Seychellen, eine Verfolgung der Routing-Spuren verliert sich in den Niederlanden.

Stellungnahme von AVM

AVM sieht in diesen Angriffen keine Gefahr. Auf der Webseite veröffentlichen die Berliner einen Sicherheitshinweis mit folgendem Wortlaut:

„Zurzeit wird über Zugriffsversuche auf FRITZ!Box-Produkte berichtet. Es handelt sich dabei um erfolglose Anmeldeversuche, also Rateversuche. Diese sogenannten „Credential Stuffing“-Versuche betreffen ständig viele Geräte, die im Internet unterwegs sind.

Unsere Wissensdatenbank vermerkt hierzu Folgendes: avm.de/service/fritzbox/fritzbox-7590/wissensdatenbank/publication/show/3299_FRITZ-Box-meldet-Anmeldung-des-Benutzers-gescheitert/

Grundsätzlich empfehlen wir die Hinweise für sichere Kennwörter zu beachten, die der Anwender beispielsweise auf der FRITZ!Box-Oberfläche erhält.“

Frei übersetzt heißt das so viel wie: „Die versuchten Angriffe gehören zum allgemeinen Lebensrisiko im Internet dazu.“

So kannst du dich schützen

AVM gibt konkrete Tipps, wie du dich vor diesem „allgemeinen Lebensrisiko“ absichern kannst. Dazu gehören, neben den üblichen Tipps wie der aktuellsten FritzOS-Software und einem starken sowie sicheren Passwort, auch technisch tiefgehende Tipps. So kannst du beispielsweise über eine Diagnoseseite im Fritz-Menü unter dem Reiter „Diagnose // Sicherheit“ abfragen, welche Internetdienste auf der FritzBox aktiv sind und nicht benötigte Dienste abschalten. Wenn du Ports oder Dienste deaktivierst, solltest du dir aber sicher sein, sie nicht zu benötigten.

Quelle; inside-digital
 

Gordon-1979

Ist gelegentlich hier
Registriert
13. Januar 2016
Beiträge
96
Punkte Reaktionen
104
Erfolgspunkte
53
Was auch noch Funktioniert:
System –> Fritz!Box-Benutzer –> Zugang aus dem Internet , Haken raus.
Somit kann sich keiner über das Internet einloggen.
Und/Oder:
Internet –> Freigaben –> FRITZ!Box Dienste und dann den Zugriff über HTTPS deaktivieren.
 

The_Wanderer

Ist oft hier
Registriert
23. Februar 2020
Beiträge
131
Lösungen
1
Punkte Reaktionen
146
Erfolgspunkte
73
Hallo.

Laut AVM soll das FritzOS auf dem aktuellsten Stand gehalten weden. Mittlerweile gibt es die 7.25, aber anscheinend nur für die 7590.
Für meine 6820 LTE gibt als aktuellstes OS nur die 7.13. Anscheinend muß ich da noch etwas zuwarten.

Viele Grüße,
Rudi
 

FatherOfDeath

Meister
Registriert
27. September 2010
Beiträge
776
Punkte Reaktionen
765
Erfolgspunkte
163
Prima wäre es, wenn AVM die Möglichkeit einer Sperre nach der X-ten falschen Passworteingabe ermöglichen würde.
Das sollte vom jeweiligen Besitzer der Box steuerbar sein, z.B. wenn von der o.g. IP-Adresse das 3. Mal innerhalb von
X-Minuten ein falsches PW eingegeben wird, wird die IP für eine einstellbare Zeit gesperrt, kann kommen was will.
 

The_Wanderer

Ist oft hier
Registriert
23. Februar 2020
Beiträge
131
Lösungen
1
Punkte Reaktionen
146
Erfolgspunkte
73
Hallo FatherOfDeath.

Das ist eine gute Idee, um die Sicherheit zu erhöhen. Ich hatte so eine Sperrfunktion als Diebstahlschutz bei einem Philips Autoradio. Nach jeder falschen Code-Eingabe verlängerte sich die Wartezeit.

Macht es Sinn, deine Idee an AVM weiterzuleiten? - Die E-Mail habe ich ja, da ich ihnen wegen den WLAN-Steckern von meiner 6820 LTE geschrieben habe.

Viele Grüße,
Rudi
 

Lecter

Moderator
Teammitglied
Registriert
3. März 2009
Beiträge
3.676
Lösungen
2
Punkte Reaktionen
16.127
Erfolgspunkte
403
Ort
Käfig
Die Weiterleitung dieser tollen Idee macht auf alle Fälle immer Sinn. Nur so besteht zumindest die Hoffnung, dass dieser nützliche Vorschlag von AVM auch tatsächlich (irgendwann) umgesetzt wird!
 

The_Wanderer

Ist oft hier
Registriert
23. Februar 2020
Beiträge
131
Lösungen
1
Punkte Reaktionen
146
Erfolgspunkte
73
Hallo Lecter.

Ok, dann werde ich den Vorschlag von FatherOfDeath an AVM schreiben. Dazu schreibe ich AVM auch, dass diese Idee von einem Forumskollegen (aber ohne Namensnennung) stammt und ich sie nur weiterleite. - Ehre, wem Ehre gebührt!

Viele Grüße.
Rudi
 
Oben