Digital Eliteboard

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

Hardware & Software Akute Angriffswelle auf Fritzbox-Nutzer, jetzt handeln!

Mysteriöse Zugriffsversuche von der IP-Adresse 185.232.52.55 verunsichern derzeit zahlreiche Fritzbox-Nutzer. Schützen Sie Ihren Router vor der Angriffswelle.

Fritzbox-Router sind derzeit offenbar einer massiven Angriffswelle ausgesetzt, deren Ziel die Übernahme der Geräte ist. Die Angriffe gehen stets von der IP-Adresse 185.232.52.55 aus, die schon mehrfach auffällig geworden ist. Wer einen AVM-Router betreibt, sollte sicherstellen, dass ein sicherer Betrieb gewährleistet ist.

Unbenanntki.jpg

Zahlreiche Leser berichteten uns von beunruhigenden Aktivitäten im Ereignis-Log Ihrer Fritzboxen: Etliche Anmeldeversuche auf der Fritzbox-Benutzeroberfläche belegen, dass jemand mit Nachdruck versucht, die Kontrolle über den Router zu gewinnen. Die Häufung der Leserhinweise deutet darauf hin, dass es sich um einen groß angelegten Angriff handelt und die Täter bereits über einen längeren Zeitraum große IP-Adressbereiche attackieren.

Benutzernamen durchprobiert

Die Angreifer wählen Ihre Ziele offenbar zufällig aus: Aus den Log-Einträgen geht hervor, dass wahllos zahlreiche Mail-Adressen als Benutzernamen durchprobiert werden. Die Mail-Adressen stammen vor allem von Nutzern aus Deutschland, wie an der Domainendung .de erkennbar ist. Woher die durchprobierten Logindaten stammen, ist bislang unklar.

Betroffen sind Fritzbox-Nutzer, deren Router-Oberfläche über das Internet erreichbar ist. Dies ist der Fall, wenn in den Fritzbox-Einstellungen (
Bitte, Anmelden oder Registrieren um URL-Inhalte anzeigen!
) unter "Internet / Freigaben / FRITZ!Box-Dienste" die Option "Internetzugriff auf die FRITZ!Box über HTTPS aktiviert" eingeschaltet ist. Oft ist der Fernzugriff in Kombination mit dem AVM-Dienste MyFRITZ! aktiv.

Bitte, Anmelden oder Registrieren um URL-Inhalte anzeigen!

Hunderte Beschwerden: Von der IP-Adresse 185.232.52.55 gehen unzählige Zugriffsversuche auf AVM Fritzboxen aus.

(Bild: AbuseIPDB)

Wer hinter der Angriffswelle steckt, ist derzeit noch unklar. Im Netz finden sich zahlreiche Berichte besorgter Nutzer, die ebenfalls Zugriffsversuche von der IP-Adresse 185.232.52.55 bemerkt haben. Die ersten Berichte stammen bereits aus dem Sommer 2020, was darauf hindeutet, dass die Angriffe bereits seit Monaten laufen. Bei dem IP-Abuse-Verzeichnis AbuseIPDB verzeichnet inzwischen fast 300 Beschwerden über die IP, zumeist handelt es sich um Zugriffsversuche auf Fritzboxen.

Fritzbox absichern

Um vor solchen und weiteren Attacken geschützt zu sein, sollten Sie Ihre Fritzbox so sicher wie möglich konfigurieren. Elementar wichtig ist, dass auf der Fritzbox die aktuelle Firmware (FRITZ!OS) installiert ist. Sie können den aktuellen Stand der Dinge unter "System / Update" in Erfahrung bringen und dort auch ein Update anstoßen, sofern Ihr Router noch nicht mit der aktuellen Firmware ausgestattet ist. Stellen Sie auf der Unterseite "Auto-Update" mindestens die "Stufe II" ein, damit die Fritzbox automatisch sicherheitsrelevante Update einspielt.

Einen Überblick über die aus dem Internet erreichbaren Dienste liefert Ihnen die Router-Oberfläche über den Sicherheitscheck, den Sie über "Diagnose / Sicherheit" erreichen. Unter "FRITZ!Box-Dienste" listet der AVM-Router dort alle Dienste auf, die für Zugriffe von außen freigegeben sind. Kontrolliereren Sie bei dieser Gelegenheit hier auch die "Portfreigaben auf Heimnetzgeräte", da auch andere Geräte in Ihrem Netzwerk, die von außen erreichbar sind, problematisch sein können. Im besten Fall sind keine Dienste direkt aus dem Internet erreichbar, da jeder Dienst ein potenzielles Sicherheitsrisiko darstellt. Schalten Sie also alle Freigaben ab, auf die Sie verzichten können.

Sicheres Passwort

Bitte, Anmelden oder Registrieren um URL-Inhalte anzeigen!


Über den Sicherheitscheck der Fritzbox verschaffen Sie sich schnell einen Überblick über den aktuellen Stand der Dinge.

Wer auf den Fernzugriff nicht verzichten kann oder möchte, sollte sicherstellen, dass der Fritzbox-Benutzeraccount mit einem möglichst langen Passwort geschützt ist, das nur für diesen Zweck eingesetzt wird. Sie können das Passwort unter "System / FRITZ!Box-Benutzer" ändern. Weiterhin kann es helfen, einen individuellen Nutzernamen einzusetzen und die Fritzbox-Oberfläche über einen alternativen Port erreichbar zu machen. Ist der HTTPS-Standardport 443 gesetzt, dann ist das Webinterface für Angreifer sehr leicht auffindbar. Ein abweichender Port kann unbefugte Zugriffsversuche zwar nicht verhindern, aber zumindest erschweren.

Sinnvoll sind auch die Schutzfunktionen unter "Zusätzliche Bestätigung": Die Option "Ausführung bestimmter Einstellungen und Funktionen zusätzlich bestätigen" bewirkt, dass kritische Änderungen der Router-Einstellungen extra bestätigt werden müssen, zum Beispiel, indem Sie eine Taste der Fritzbox drücken oder eine Tastenkombination in ein an die Fritzbox angeschlossenen Telefone tippen. Über "Bestätigung über Google Authenticator App aktivieren" können Sie zudem Ihren Fritzbox-Account durch einen zweiten Faktor schützen, sofern Ihr Fritzbox-Modell dies unterstützt.

Verdächtige Ereignisse entdecken

Unter "System / Ereignisse" können Sie überprüfen, ob es bei Ihrer Fritzbox ebenfalls zu auffäligen Anmeldeversuchen kam. Wählen Sie oben am besten "Alle" aus, um sämtliche Ereignisarten anzeigen zu lassen. Dann erfahren Sie beispielweise auch, ob jemand versucht hat, sich mit einem falschen Passwort mit Ihrem WLAN zu verbinden.

Weitere Tipps zur sicheren Konfiguration des Routers, sicheren Passwörtern und vielem mehr liefern Ihnen unsere c't-Security-Checklisten, die Sie unter
Bitte, Anmelden oder Registrieren um URL-Inhalte anzeigen!
anrufen können.

Wir haben AVM am Montagvormittag um eine Stellungnahme zu der aktuellen Angriffswelle gebeten und werden diesen Artikel aktualisieren, wenn der Hersteller ergänzende Informationen bereitstellt.

Update vom 1. März, 14:30: AVM erklärte gegenüber heise Security: "Es handelt sich nicht um eine Angriffswelle, es sind erfolglose Anmeldeversuche, also Rateversuche." Aus Ereignisprotokollen, die Kunden mit dem Unternehmen geteilt haben, geht hervor, "dass die probierten Zugangsdaten nicht auf der FRITZ!Box des Kunden passen und keinen Bezug zum Gerät des Kunden haben." AVM verweist auf seinen Servicebereich, in dem sich
Bitte, Anmelden oder Registrieren um URL-Inhalte anzeigen!
finden.

Quelle; heise
 
Zuletzt bearbeitet:

dezember2011

Spezialist
Registriert
1. März 2011
Beiträge
522
Lösungen
1
Punkte Reaktionen
4.024
Erfolgspunkte
263
Ort
NRW
Warum schaltet man den Zugriff aus dem Internet nicht ab, und aktiviert statt dessen das integrierte VPN? Wenn man schon Zugriff auf die Fritzbox von unterwegs benötigt?
Damit wären viele Angriffsmöglichkeiten ausgeschlossen.
 

knoppel

Hacker
Registriert
19. Oktober 2015
Beiträge
315
Punkte Reaktionen
340
Erfolgspunkte
123
Und wenn solche IP dann auch noch in den Foren bekannt gemacht wird, können andere Nutzer davon profitieren und diese IP ebenfalls blocken, bevor ein Anmeldeversuch erfolgt. Gute Idee.
 

The_Wanderer

Ist oft hier
Registriert
23. Februar 2020
Beiträge
131
Lösungen
1
Punkte Reaktionen
146
Erfolgspunkte
73
Hallo.

Gerade vorhin habe ich die Antwort von AVM erhalten. Meine E-Mail wurde an das Produktmanagement weitergeleitet.
Nun werde ich mal abwarten und dann nachfragen, wie der Stand in der Sache ist.
Das kann vom Software-Team nicht selbst entschieden werden - eben genau so, wie es auch in anderen Firmen ist.

Viele Grüße,
Rudi
 

modino2711

Elite Lord
Registriert
2. Oktober 2009
Beiträge
3.230
Lösungen
1
Punkte Reaktionen
1.883
Erfolgspunkte
393
und diese IP ebenfalls blocken, bevor ein Anmeldeversuch erfolgt
wie soll das gehen, auch ne Fritze kann nicht hellsehen.
ein Anmeldeversuch muss schon stattfinden, damit eine
Blockliste aktiv wird, ähnlich wie bei der Telefonie Rufsperre,
da kann die blockliste auch erst aktiv werden, wenn eine
gesperrte Nummer den Kontakt sucht.
das der versuch zusätzlich in den Ereignissen angezeigt wird,
ist ja auch kein Fehler.
 
Zuletzt bearbeitet:

knoppel

Hacker
Registriert
19. Oktober 2015
Beiträge
315
Punkte Reaktionen
340
Erfolgspunkte
123
Ich dachte daran, dass evtl. eine manuelle Eingabe ermöglicht wird.
 

modino2711

Elite Lord
Registriert
2. Oktober 2009
Beiträge
3.230
Lösungen
1
Punkte Reaktionen
1.883
Erfolgspunkte
393
ist doch meine rede!
eine Blockliste einbauen, wo man selbst manuell IP's eintragen kann,
die beim Anmeldeversuch geblockt werden
 
Oben