[ziesell]

Zitat:

Per Fernzugriff: Angreifer versucht aktiv fremde Fritzbox-Router zu kapern

Wer den Fernzugriff für seine Fritzbox aktiviert hat, findet im Protokoll derzeit womöglich fehlgeschlagene Anmeldeversuche vor. Ein Problem ist das in der Regel nicht.



Ein unbekannter Angreifer scheint derzeit das Internet nach unzureichend geschützten Fritzbox-Routern abzuscannen und zu versuchen, sich dort mit verschiedenen Zugangsdaten anzumelden. Auf den Angriff wies zuerst der IT-Experte Günter Born hin, nachdem ein Leser seines IT- und Windows-Blogs ihn darauf aufmerksam gemacht hatte.

Die Zugriffsversuche tauchen demnach im Ereignisprotokoll attackierter Fritzboxen auf. Weitere Leser bestätigten in den Kommentaren von Borns Blogbeitrag inzwischen, ebenfalls entsprechende Protokolleinträge auf ihren Routern vorgefunden zu haben. Die Angriffe scheinen alle von der gleichen IP-Adresse aus (193.46.255.151) zu erfolgen.

Wie den Ereignisprotokollen zu entnehmen ist, werden in unterschiedlichen zeitlichen Abständen Anmeldeversuche mit verschiedenen Nutzernamen getestet. Darunter sind nicht nur häufig vorkommende Standardnutzer wie "admin" und "administrator", sondern auch E-Mail-Adressen und andere individuelle Nutzernamen, die teilweise aus reinen Vornamen oder zusammengesetzten Vor- und Nachnamen bestehen.

Ähnliche Angriffe gab es auch schon früher. Anfang 2021 gab der Fritzbox-Hersteller AVM diesbezüglich aber Entwarnung. Diese sogenannten Credential-Stuffing-Attacken seien normal, sobald ein Router im Internet sichtbar sei. Erfolgreich sind die Anmeldeversuche in der Regel nicht.

Mögliche Schutzmaßnahmen

Wer genau hinter der aktuellen Angriffswelle steckt, ist derzeit noch unklar. Das Angriffsmuster deutet aber darauf hin, dass der Angreifer für die Zugriffsversuche bekannte Nutzername-Passwort-Kombinationen einsetzt – möglicherweise solche aus früheren Datenlecks. Wer für den Fernzugriff auf seine Fritzbox ein Passwort verwendet, das er auch für andere Dienste nutzt, sollte dieses daher zeitnah ändern.

Den besten Schutz vor solchen Angriffen bietet gewiss die vollständige Deaktivierung des Fernzugriffs auf die Benutzeroberfläche der Fritzbox. Für all jene, die auf diese Funktion nicht verzichten können, empfiehlt es sich, für alle Fritzbox-Benutzer, die für den Fernzugriff berechtigt sind, zumindest die Zwei-Faktor-Authentifizierung (2FA) zu aktivieren und dadurch die sicherheitsrelevanten Einstellungen des Routers zu schützen.

Alternativ kann der Zugriff auf die Fritzbox auch über ein VPN erfolgen. Dabei wird zunächst eine gesicherte Verbindung zum internen Netzwerk hergestellt und von dort aus auf das Webinterface des Routers zugegriffen. Der Fernzugriff auf die Fritzbox kann in diesem Fall deaktiviert werden.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[Draalz]

Danke für das Einstellen. Habe gerade festgestellt, dass etwa seit dem 1.3. Einbruchsversuche auf meine FritzBox von der erwähnten IP gefahren werden.
Bisher scheiterte es am Benutzernamen.

Seinerzeit, als es noch keine Router nach dem heutigen Verständnis gab, hing ich einen Smoothwall Software Router mit 3 Netzwerkkarten (i386) hinter das DSL Modem.
Er war in der Lage ein internes Netzwerk in ein privates und in eine sogenannte DMZ zu splitten. Neben einer akkuraten Firewall lief auch ein IDS (Intrusion Detection System) und was das offenlegte war schon erstaunlich.

Spaßeshalber habe mal einen Portscan auf die IP gefahren, aber sie ist derzeit nicht aktiv.