Alert!

Akute Angriffswelle auf Fritzbox-Nutzer, jetzt handeln!

Mysteriöse Zugriffsversuche von der IP-Adresse 185.232.52.55 verunsichern derzeit zahlreiche Fritzbox-Nutzer. Schützen Sie Ihren Router vor der Angriffswelle.

Lesezeit: 5 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 908 Beiträge

(Bild: AVM)

Update
Von
  • Ronald Eikenberg

Fritzbox-Router sind derzeit offenbar einer massiven Angriffswelle ausgesetzt, deren Ziel die Übernahme der Geräte ist. Die Angriffe gehen stets von der IP-Adresse 185.232.52.55 aus, die schon mehrfach auffällig geworden ist. Wer einen AVM-Router betreibt, sollte sicherstellen, dass ein sicherer Betrieb gewährleistet ist.

Zahlreiche Leser berichteten uns von beunruhigenden Aktivitäten im Ereignis-Log Ihrer Fritzboxen: Etliche Anmeldeversuche auf der Fritzbox-Benutzeroberfläche belegen, dass jemand mit Nachdruck versucht, die Kontrolle über den Router zu gewinnen. Die Häufung der Leserhinweise deutet darauf hin, dass es sich um einen groß angelegten Angriff handelt und die Täter bereits über einen längeren Zeitraum große IP-Adressbereiche attackieren.

Die Angreifer wählen Ihre Ziele offenbar zufällig aus: Aus den Log-Einträgen geht hervor, dass wahllos zahlreiche Mail-Adressen als Benutzernamen durchprobiert werden. Die Mail-Adressen stammen vor allem von Nutzern aus Deutschland, wie an der Domainendung .de erkennbar ist. Woher die durchprobierten Logindaten stammen, ist bislang unklar.

Betroffen sind Fritzbox-Nutzer, deren Router-Oberfläche über das Internet erreichbar ist. Dies ist der Fall, wenn in den Fritzbox-Einstellungen (http://fritz.box) unter "Internet / Freigaben / FRITZ!Box-Dienste" die Option "Internetzugriff auf die FRITZ!Box über HTTPS aktiviert" eingeschaltet ist. Oft ist der Fernzugriff in Kombination mit dem AVM-Dienste MyFRITZ! aktiv.

Hunderte Beschwerden: Von der IP-Adresse 185.232.52.55 gehen unzählige Zugriffsversuche auf AVM Fritzboxen aus.

(Bild: AbuseIPDB)

Wer hinter der Angriffswelle steckt, ist derzeit noch unklar. Im Netz finden sich zahlreiche Berichte besorgter Nutzer, die ebenfalls Zugriffsversuche von der IP-Adresse 185.232.52.55 bemerkt haben. Die ersten Berichte stammen bereits aus dem Sommer 2020, was darauf hindeutet, dass die Angriffe bereits seit Monaten laufen. Bei dem IP-Abuse-Verzeichnis AbuseIPDB verzeichnet inzwischen fast 300 Beschwerden über die IP, zumeist handelt es sich um Zugriffsversuche auf Fritzboxen.

Um vor solchen und weiteren Attacken geschützt zu sein, sollten Sie Ihre Fritzbox so sicher wie möglich konfigurieren. Elementar wichtig ist, dass auf der Fritzbox die aktuelle Firmware (FRITZ!OS) installiert ist. Sie können den aktuellen Stand der Dinge unter "System / Update" in Erfahrung bringen und dort auch ein Update anstoßen, sofern Ihr Router noch nicht mit der aktuellen Firmware ausgestattet ist. Stellen Sie auf der Unterseite "Auto-Update" mindestens die "Stufe II" ein, damit die Fritzbox automatisch sicherheitsrelevante Update einspielt.

Einen Überblick über die aus dem Internet erreichbaren Dienste liefert Ihnen die Router-Oberfläche über den Sicherheitscheck, den Sie über "Diagnose / Sicherheit" erreichen. Unter "FRITZ!Box-Dienste" listet der AVM-Router dort alle Dienste auf, die für Zugriffe von außen freigegeben sind. Kontrolliereren Sie bei dieser Gelegenheit hier auch die "Portfreigaben auf Heimnetzgeräte", da auch andere Geräte in Ihrem Netzwerk, die von außen erreichbar sind, problematisch sein können. Im besten Fall sind keine Dienste direkt aus dem Internet erreichbar, da jeder Dienst ein potenzielles Sicherheitsrisiko darstellt. Schalten Sie also alle Freigaben ab, auf die Sie verzichten können.

Über den Sicherheitscheck der Fritzbox verschaffen Sie sich schnell einen Überblick über den aktuellen Stand der Dinge.

Wer auf den Fernzugriff nicht verzichten kann oder möchte, sollte sicherstellen, dass der Fritzbox-Benutzeraccount mit einem möglichst langen Passwort geschützt ist, das nur für diesen Zweck eingesetzt wird. Sie können das Passwort unter "System / FRITZ!Box-Benutzer" ändern. Weiterhin kann es helfen, einen individuellen Nutzernamen einzusetzen und die Fritzbox-Oberfläche über einen alternativen Port erreichbar zu machen. Ist der HTTPS-Standardport 443 gesetzt, dann ist das Webinterface für Angreifer sehr leicht auffindbar. Ein abweichender Port kann unbefugte Zugriffsversuche zwar nicht verhindern, aber zumindest erschweren.

Sinnvoll sind auch die Schutzfunktionen unter "Zusätzliche Bestätigung": Die Option "Ausführung bestimmter Einstellungen und Funktionen zusätzlich bestätigen" bewirkt, dass kritische Änderungen der Router-Einstellungen extra bestätigt werden müssen, zum Beispiel, indem Sie eine Taste der Fritzbox drücken oder eine Tastenkombination in ein an die Fritzbox angeschlossenen Telefone tippen. Über "Bestätigung über Google Authenticator App aktivieren" können Sie zudem Ihren Fritzbox-Account durch einen zweiten Faktor schützen, sofern Ihr Fritzbox-Modell dies unterstützt.

Unter "System / Ereignisse" können Sie überprüfen, ob es bei Ihrer Fritzbox ebenfalls zu auffäligen Anmeldeversuchen kam. Wählen Sie oben am besten "Alle" aus, um sämtliche Ereignisarten anzeigen zu lassen. Dann erfahren Sie beispielweise auch, ob jemand versucht hat, sich mit einem falschen Passwort mit Ihrem WLAN zu verbinden.

Weitere Tipps zur sicheren Konfiguration des Routers, sicheren Passwörtern und vielem mehr liefern Ihnen unsere c't-Security-Checklisten, die Sie unter https://ct.de/check2021 anrufen können.

Wir haben AVM am Montagvormittag um eine Stellungnahme zu der aktuellen Angriffswelle gebeten und werden diesen Artikel aktualisieren, wenn der Hersteller ergänzende Informationen bereitstellt.

Update vom 1. März, 14:30: AVM erklärte gegenüber heise Security: "Es handelt sich nicht um eine Angriffswelle, es sind erfolglose Anmeldeversuche, also Rateversuche." Aus Ereignisprotokollen, die Kunden mit dem Unternehmen geteilt haben, geht hervor, "dass die probierten Zugangsdaten nicht auf der FRITZ!Box des Kunden passen und keinen Bezug zum Gerät des Kunden haben." AVM verweist auf seinen Servicebereich, in dem sich eine Reihe von Schutz-Tipps finden. (rei)