Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

Hardware & Software Akute Angriffswelle auf Fritzbox-Nutzer, jetzt handeln!

Mysteriöse Zugriffsversuche von der IP-Adresse 185.232.52.55 verunsichern derzeit zahlreiche Fritzbox-Nutzer. Schützen Sie Ihren Router vor der Angriffswelle.

Fritzbox-Router sind derzeit offenbar einer massiven Angriffswelle ausgesetzt, deren Ziel die Übernahme der Geräte ist. Die Angriffe gehen stets von der IP-Adresse 185.232.52.55 aus, die schon mehrfach auffällig geworden ist. Wer einen AVM-Router betreibt, sollte sicherstellen, dass ein sicherer Betrieb gewährleistet ist.

Unbenanntki.jpg

Zahlreiche Leser berichteten uns von beunruhigenden Aktivitäten im Ereignis-Log Ihrer Fritzboxen: Etliche Anmeldeversuche auf der Fritzbox-Benutzeroberfläche belegen, dass jemand mit Nachdruck versucht, die Kontrolle über den Router zu gewinnen. Die Häufung der Leserhinweise deutet darauf hin, dass es sich um einen groß angelegten Angriff handelt und die Täter bereits über einen längeren Zeitraum große IP-Adressbereiche attackieren.

Benutzernamen durchprobiert

Die Angreifer wählen Ihre Ziele offenbar zufällig aus: Aus den Log-Einträgen geht hervor, dass wahllos zahlreiche Mail-Adressen als Benutzernamen durchprobiert werden. Die Mail-Adressen stammen vor allem von Nutzern aus Deutschland, wie an der Domainendung .de erkennbar ist. Woher die durchprobierten Logindaten stammen, ist bislang unklar.

Betroffen sind Fritzbox-Nutzer, deren Router-Oberfläche über das Internet erreichbar ist. Dies ist der Fall, wenn in den Fritzbox-Einstellungen (
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
) unter "Internet / Freigaben / FRITZ!Box-Dienste" die Option "Internetzugriff auf die FRITZ!Box über HTTPS aktiviert" eingeschaltet ist. Oft ist der Fernzugriff in Kombination mit dem AVM-Dienste MyFRITZ! aktiv.

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

Hunderte Beschwerden: Von der IP-Adresse 185.232.52.55 gehen unzählige Zugriffsversuche auf AVM Fritzboxen aus.

(Bild: AbuseIPDB)

Wer hinter der Angriffswelle steckt, ist derzeit noch unklar. Im Netz finden sich zahlreiche Berichte besorgter Nutzer, die ebenfalls Zugriffsversuche von der IP-Adresse 185.232.52.55 bemerkt haben. Die ersten Berichte stammen bereits aus dem Sommer 2020, was darauf hindeutet, dass die Angriffe bereits seit Monaten laufen. Bei dem IP-Abuse-Verzeichnis AbuseIPDB verzeichnet inzwischen fast 300 Beschwerden über die IP, zumeist handelt es sich um Zugriffsversuche auf Fritzboxen.

Fritzbox absichern

Um vor solchen und weiteren Attacken geschützt zu sein, sollten Sie Ihre Fritzbox so sicher wie möglich konfigurieren. Elementar wichtig ist, dass auf der Fritzbox die aktuelle Firmware (FRITZ!OS) installiert ist. Sie können den aktuellen Stand der Dinge unter "System / Update" in Erfahrung bringen und dort auch ein Update anstoßen, sofern Ihr Router noch nicht mit der aktuellen Firmware ausgestattet ist. Stellen Sie auf der Unterseite "Auto-Update" mindestens die "Stufe II" ein, damit die Fritzbox automatisch sicherheitsrelevante Update einspielt.

Einen Überblick über die aus dem Internet erreichbaren Dienste liefert Ihnen die Router-Oberfläche über den Sicherheitscheck, den Sie über "Diagnose / Sicherheit" erreichen. Unter "FRITZ!Box-Dienste" listet der AVM-Router dort alle Dienste auf, die für Zugriffe von außen freigegeben sind. Kontrolliereren Sie bei dieser Gelegenheit hier auch die "Portfreigaben auf Heimnetzgeräte", da auch andere Geräte in Ihrem Netzwerk, die von außen erreichbar sind, problematisch sein können. Im besten Fall sind keine Dienste direkt aus dem Internet erreichbar, da jeder Dienst ein potenzielles Sicherheitsrisiko darstellt. Schalten Sie also alle Freigaben ab, auf die Sie verzichten können.

Sicheres Passwort

Du musst dich Anmelden oder Registrieren um diesen link zusehen!


Über den Sicherheitscheck der Fritzbox verschaffen Sie sich schnell einen Überblick über den aktuellen Stand der Dinge.

Wer auf den Fernzugriff nicht verzichten kann oder möchte, sollte sicherstellen, dass der Fritzbox-Benutzeraccount mit einem möglichst langen Passwort geschützt ist, das nur für diesen Zweck eingesetzt wird. Sie können das Passwort unter "System / FRITZ!Box-Benutzer" ändern. Weiterhin kann es helfen, einen individuellen Nutzernamen einzusetzen und die Fritzbox-Oberfläche über einen alternativen Port erreichbar zu machen. Ist der HTTPS-Standardport 443 gesetzt, dann ist das Webinterface für Angreifer sehr leicht auffindbar. Ein abweichender Port kann unbefugte Zugriffsversuche zwar nicht verhindern, aber zumindest erschweren.

Sinnvoll sind auch die Schutzfunktionen unter "Zusätzliche Bestätigung": Die Option "Ausführung bestimmter Einstellungen und Funktionen zusätzlich bestätigen" bewirkt, dass kritische Änderungen der Router-Einstellungen extra bestätigt werden müssen, zum Beispiel, indem Sie eine Taste der Fritzbox drücken oder eine Tastenkombination in ein an die Fritzbox angeschlossenen Telefone tippen. Über "Bestätigung über Google Authenticator App aktivieren" können Sie zudem Ihren Fritzbox-Account durch einen zweiten Faktor schützen, sofern Ihr Fritzbox-Modell dies unterstützt.

Verdächtige Ereignisse entdecken

Unter "System / Ereignisse" können Sie überprüfen, ob es bei Ihrer Fritzbox ebenfalls zu auffäligen Anmeldeversuchen kam. Wählen Sie oben am besten "Alle" aus, um sämtliche Ereignisarten anzeigen zu lassen. Dann erfahren Sie beispielweise auch, ob jemand versucht hat, sich mit einem falschen Passwort mit Ihrem WLAN zu verbinden.

Weitere Tipps zur sicheren Konfiguration des Routers, sicheren Passwörtern und vielem mehr liefern Ihnen unsere c't-Security-Checklisten, die Sie unter
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
anrufen können.

Wir haben AVM am Montagvormittag um eine Stellungnahme zu der aktuellen Angriffswelle gebeten und werden diesen Artikel aktualisieren, wenn der Hersteller ergänzende Informationen bereitstellt.

Update vom 1. März, 14:30: AVM erklärte gegenüber heise Security: "Es handelt sich nicht um eine Angriffswelle, es sind erfolglose Anmeldeversuche, also Rateversuche." Aus Ereignisprotokollen, die Kunden mit dem Unternehmen geteilt haben, geht hervor, "dass die probierten Zugangsdaten nicht auf der FRITZ!Box des Kunden passen und keinen Bezug zum Gerät des Kunden haben." AVM verweist auf seinen Servicebereich, in dem sich
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
finden.

Quelle; heise
 
Zuletzt bearbeitet:
Hallo.

Habe gerade im Systemprotokoll der FritzBox nachgesehen - bis jetzt noch keine Hinweise auf einen möglichen Angriff.
Hoffentlich bleibt es auch so. Jedenfalls werde ich nun regelmäßiger die System-Logs überprüfen.

Viele Grüße,
Rudi
 
das ist ja nix neues, ich hatte im letzten jahr auch 2 Versuche.
Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!
die Ip 185.232.52.55 war identisch, hatte mir das mal abgespeichert.
nur die banale aufforderung," jetzt handeln ", ist gut, sollte besser heissen,
"vorher handeln " !
 
Zuletzt bearbeitet:
Kommt auf den Internet-Provider an, wie stark man von solchen „Einbruchsversuchen“ betroffen ist. Ist so meine Erfahrung, dass man bei Kabel-Internet da sehr viel mehr betroffen ist als bei A/VDSL der Telekom. Seh ich so in den Protokollen der Lancom-Ruoter in der Firma und da geht es nicht nur um Web-Logins in Fritz!Boxen o.ä. Beim Internetanschluss von TeleColumbus/Pyur ist es so schlimm, dass das Protokoll der Intruder-Angriffe täglich überläuft. Durchgekommen ist jedenfalls noch niemand.
 
Das geht bei mir und meinem Schwager schon seit Monaten so.
 
Da ich in unserem Verein auch den Router warte und von zu Hause aus den täglichen Zugriff mache, um zu
sehen, ob die Box noch läuft, kann ich berichten, dass im Herbst letzten Jahres über gut eine Woche über
100 Angriffe von besagter IP-Adresse darauf erfolgt ist. Habe dann den Fernzugriff für einige Tage deaktiviert
und danach war Ruhe.
 
Angriffswelle auf die Fritzbox: Das sagt AVM dazu

Die FritzBox von AVM ist einer der am häufigsten genutzten Router in Deutschland – und entsprechend ein beliebtes Angriffsziel für Hacker. Aktuell gibt es Berichte über eine vermeintliche Angriffswelle. Was steckt dahinter und was sagt AVM dazu?

Es geht bei den Berichten im Kern darum, dass Nutzer einer FritzBox in ihrem Systemprotokoll gescheiterte Anmeldeversuche aus dem Internet gefunden haben. Das heißt, jemand hat versucht, sich von extern als FritzBox-Benutzer anzumelden um die Kontrolle zu übernehmen. Möglich ist das grundsätzlich, weil die FritzBox auch für dich als Nutzer auf Wunsch aus dem Internet erreichbar ist – etwa für die Fernwartung.

Nun hat aber ein externer Angreifer hoffentlich nicht deine Zugangsdaten. Daher muss er sie erraten. Dabei dient ihm als Basis offenbar eine E-Mail-Adresse, deren Existenz er kennt oder vermutet. Das Passwort rät er. Ist es falsch, kommt es im FritzBox-Protokoll zu dieser Meldung: „Anmeldung des Benutzers […] gescheitert“.

Den Berichten nach handelt es sich um die IP-Adresse 185.232.52.55 von der die Anmeldeversuche ausgehen sollen. Das Bemerkenswerte dabei: Laut heise laufen derartige Versuche schon seit dem Sommer vergangenen Jahres von dieser Adresse. Registriert ist sie augenscheinlich auf eine Firma von den Seychellen, eine Verfolgung der Routing-Spuren verliert sich in den Niederlanden.

Stellungnahme von AVM

AVM sieht in diesen Angriffen keine Gefahr. Auf der Webseite veröffentlichen die Berliner einen Sicherheitshinweis mit folgendem Wortlaut:

„Zurzeit wird über Zugriffsversuche auf FRITZ!Box-Produkte berichtet. Es handelt sich dabei um erfolglose Anmeldeversuche, also Rateversuche. Diese sogenannten „Credential Stuffing“-Versuche betreffen ständig viele Geräte, die im Internet unterwegs sind.

Unsere Wissensdatenbank vermerkt hierzu Folgendes: avm.de/service/fritzbox/fritzbox-7590/wissensdatenbank/publication/show/3299_FRITZ-Box-meldet-Anmeldung-des-Benutzers-gescheitert/

Grundsätzlich empfehlen wir die Hinweise für sichere Kennwörter zu beachten, die der Anwender beispielsweise auf der FRITZ!Box-Oberfläche erhält.“

Frei übersetzt heißt das so viel wie: „Die versuchten Angriffe gehören zum allgemeinen Lebensrisiko im Internet dazu.“

So kannst du dich schützen

AVM gibt konkrete Tipps, wie du dich vor diesem „allgemeinen Lebensrisiko“ absichern kannst. Dazu gehören, neben den üblichen Tipps wie der aktuellsten FritzOS-Software und einem starken sowie sicheren Passwort, auch technisch tiefgehende Tipps. So kannst du beispielsweise über eine Diagnoseseite im Fritz-Menü unter dem Reiter „Diagnose // Sicherheit“ abfragen, welche Internetdienste auf der FritzBox aktiv sind und nicht benötigte Dienste abschalten. Wenn du Ports oder Dienste deaktivierst, solltest du dir aber sicher sein, sie nicht zu benötigten.

Quelle; inside-digital
 
Was auch noch Funktioniert:
System –> Fritz!Box-Benutzer –> Zugang aus dem Internet , Haken raus.
Somit kann sich keiner über das Internet einloggen.
Und/Oder:
Internet –> Freigaben –> FRITZ!Box Dienste und dann den Zugriff über HTTPS deaktivieren.
 
Hallo.

Laut AVM soll das FritzOS auf dem aktuellsten Stand gehalten weden. Mittlerweile gibt es die 7.25, aber anscheinend nur für die 7590.
Für meine 6820 LTE gibt als aktuellstes OS nur die 7.13. Anscheinend muß ich da noch etwas zuwarten.

Viele Grüße,
Rudi
 
Prima wäre es, wenn AVM die Möglichkeit einer Sperre nach der X-ten falschen Passworteingabe ermöglichen würde.
Das sollte vom jeweiligen Besitzer der Box steuerbar sein, z.B. wenn von der o.g. IP-Adresse das 3. Mal innerhalb von
X-Minuten ein falsches PW eingegeben wird, wird die IP für eine einstellbare Zeit gesperrt, kann kommen was will.
 
Hallo FatherOfDeath.

Das ist eine gute Idee, um die Sicherheit zu erhöhen. Ich hatte so eine Sperrfunktion als Diebstahlschutz bei einem Philips Autoradio. Nach jeder falschen Code-Eingabe verlängerte sich die Wartezeit.

Macht es Sinn, deine Idee an AVM weiterzuleiten? - Die E-Mail habe ich ja, da ich ihnen wegen den WLAN-Steckern von meiner 6820 LTE geschrieben habe.

Viele Grüße,
Rudi
 
Die Weiterleitung dieser tollen Idee macht auf alle Fälle immer Sinn. Nur so besteht zumindest die Hoffnung, dass dieser nützliche Vorschlag von AVM auch tatsächlich (irgendwann) umgesetzt wird!
 
Hallo Lecter.

Ok, dann werde ich den Vorschlag von FatherOfDeath an AVM schreiben. Dazu schreibe ich AVM auch, dass diese Idee von einem Forumskollegen (aber ohne Namensnennung) stammt und ich sie nur weiterleite. - Ehre, wem Ehre gebührt!

Viele Grüße.
Rudi
 
Zurück
Oben