Fremdzugriff: Angreifer setzen auf Fritzbox-Router als Ziel
Möglicherweise entdecken Nutzer, die den Fernzugriff für ihre Fritzbox aktiviert haben, derzeit fehlgeschlagene Anmeldeversuche in ihren Protokollen. Normalerweise ist dies jedoch kein Problem.
Derzeit scheint ein unbekannter Angreifer das Internet nach unzureichend geschützten Fritzbox-Routern abzuscannen und versucht, sich mit verschiedenen Zugangsdaten anzumelden. Günter Born, ein renommierter IT-Experte, wies zuerst auf diesen Angriff hin, nachdem ein Leser seines IT- und Windows-Blogs ihn darauf aufmerksam gemacht hatte.
Die Zugriffsversuche werden in den Ereignisprotokollen der angegriffenen Fritzboxen dokumentiert. Weitere Leser bestätigten in den Kommentaren zu Borns Blogbeitrag, ähnliche Protokolleinträge auf ihren Routern gefunden zu haben. Alle Angriffe scheinen von derselben IP-Adresse aus (193.46.255.151) zu erfolgen.
Die Ereignisprotokolle zeigen, dass in unterschiedlichen zeitlichen Abständen Anmeldeversuche mit verschiedenen Nutzernamen durchgeführt werden. Neben häufig vorkommenden Standardnutzern wie „admin“ und „administrator“ werden auch E-Mail-Adressen und andere individuelle Nutzernamen getestet, die teilweise aus reinen Vornamen oder zusammengesetzten Vor- und Nachnamen bestehen.
Ähnliche Angriffe wurden auch schon früher beobachtet. Obwohl der Fritzbox-Hersteller AVM Anfang 2021 Entwarnung gab, indem er erklärte, dass solche sogenannten Credential-Stuffing-Attacken normal seien, sobald ein Router im Internet sichtbar sei, sind die Anmeldeversuche in der Regel nicht erfolgreich.
Potenzielle Schutzmaßnahmen
Die genaue Identität der Urheber der aktuellen Angriffswelle bleibt derzeit unklar. Das Muster der Angriffe legt jedoch nahe, dass der Angreifer bekannte Benutzername-Passwort-Kombinationen verwendet, möglicherweise solche, die aus früheren Datenlecks stammen. Personen, die dasselbe Passwort für den Fernzugriff auf ihre Fritzbox wie für andere Dienste nutzen, sollten daher in Erwägung ziehen, dieses Passwort umgehend zu ändern.
Die effektivste Verteidigung gegen solche Angriffe besteht zweifellos darin, den Fernzugriff auf die Benutzeroberfläche der Fritzbox vollständig zu deaktivieren. Für diejenigen, die auf diese Funktion angewiesen sind, empfiehlt es sich, zumindest die Zwei-Faktor-Authentifizierung (2FA) für alle Benutzer zu aktivieren, die für den Fernzugriff autorisiert sind. Dadurch werden die sicherheitsrelevanten Einstellungen des Routers geschützt.
Eine alternative Methode besteht darin, den Zugriff auf die Fritzbox über ein Virtual Private Network (VPN) zu ermöglichen. Hierbei wird zunächst eine sichere Verbindung zum internen Netzwerk hergestellt, von dem aus dann auf das Webinterface des Routers zugegriffen wird. In diesem Fall kann der Fernzugriff auf die Fritzbox deaktiviert werden.
IP-Adresse blockieren
Wie bereits erwähnt, ist es möglich, eine IP-Adresse zu blockieren. Dies kann über die Benutzeroberfläche der Fritz!Box erfolgen. Der entsprechende Menüpunkt befindet sich unter „Internet“ => „Filter“. Dort muss im Abschnitt „Listen“ die „IP-Sperrliste“ bearbeitet werden. Mehrere Adressen können in dieser Liste durch Leerzeichen oder Zeilenumbruch getrennt werden. Beim Speichern der bearbeiteten Liste wird kurzzeitig die Internetverbindung unterbrochen (nicht die DSL-Verbindung!).
Reklame: Hier geht es zur AVM Fritzbox 7590 AX bei Amazon