Häufige Login-Versuche an Routern (FRITZ!Box)

Sicherheit (Pexels, allgemeine Nutzung)[English]Heute ist Türchen Nummer 16 im Sicherheits-Adventskalender dran. Aktuell stellen Besitzer von Internet-Routern – speziell auf FRITZ!Box-Routern – wohl wiederkehrende Login-Versuche an ihren Geräten fest. Zumindest haben sich einige Leser bei heise mit entsprechenden Beobachtungen gemeldet. Und auch bei einer kurzen Recherche bin ich auf Postings gestoßen, die Zugriffsversuche von einer IP 193.46.255.150 des niederländischen Hosters Peenq berichten. Bereits im März 2021 hatte ich in einem Blog-Beitrag etwas ähnliches berichtet. Hier ein kurzer Überblick über dieses Themenfeld.


Anzeige

Ich hatte das Thema ständige Zugriffsversuche auf FRITZ!Boxen bereits am 1. März 2021 im Blog-Beitrag Achtung: Scans auf FRITZ!Boxen von IP-Adresse 185.232.52.55 (Port 443) aufgegriffen. Damals fanden verstärkt Zugriffsversuche aus dem Internet von der IP-Adresse 185.232.52.55 auf Router (FRITZ!Box) statt, falls der Port 443 offen ist. Das war wohl ein Port-Scan über ganze IP-Adressbereich des Internet, der seit 2020 läuft, und angreifbare Router ausfindig machen soll.

Neue Internet-Router-Anmeldeversuche

Mir ist das Thema in nachfolgendem Tweet von heise untergekommen. Dort haben sich wohl verunsicherte Leser gemeldet, die in den Protokollen ihrer Router wiederkehrende Anmeldeversuche bemerkt haben.

Internet-Router-Anmeldeversuche

Die Frage im Raum lautet, ob Angriffsversuche bekannt sind und was man tun kann. Die heise-Redaktion hat alles wissenswerte zu diesem Thema in diesem Artikel zusammen gefasst. Die Kurzfassung: Standardmäßig ist das FRITZ!OS auf den FRITZ!Box-Routern so eingerichtet, dass unbefugte Dritte keinen Zugriff auf den Router erhalten. Die Benutzeroberfläche ist für Zugriffe aus dem Internet nicht erreichbar und für Netzwerkzugriff durch den Benutzer mittels Passwort geschützt.

Die berichteten Fälle an Zugriffsversuchen erfolgen von einem IP-Bereich des niederländischen Hosting-Providers Peenq (IP 193.46.255.150 und weitere). Einen Forenpost habe ich bei Nickles.de bereits zum 17.11.2021 gefunden. Auch diese Abuse-Seite meldet die IP, wobei Bunea Telecom SRL in Nord-Holland als Besitzer genannt wird. Dort gibt es zahlreiche Meldungen vom Nov./Dez. 2021, dass diese IP die FRITZ!Box-Router kontaktiert und logins versucht werden.

FRITZ!Box Login Abuse messages Bunea Telecom SRL

Dem Hersteller AVM ist keine Angriffswelle bekannt – AVM hat zum Thema diesen Beitrag publiziert. Auch der heise-Artikel enthält einige Hinweise, was man ggf. tun kann. Auf meiner FRITZ!Box habe ich jedenfalls keine Zugriffsversuche sehen können.

Mikrotik-/TPLink-Router verwundbar

An dieser Stelle noch ein kurzer Hinweis an die Betreiber von MikroTik-Routern. MikroTik ist ein lettischer Hersteller von Routern und drahtlosen ISPs, der weltweit über 2.000.000 Geräte verkauft hat. Die Kollegen von Bleeping Computer berichten hier, dass ca. 300.000 MikroTik-Router kritische Schwachstellen aufweisen, die Malware-Botnets für Kryptomining und DDoS-Angriffe ausnutzen können.


Anzeige

Im August 2021 nutzte das Mēris-Botnet Schwachstellen in MikroTik-Routern aus, um eine Armee von Geräten aufzubauen, die einen rekordverdächtigen DDoS-Angriff auf Yandex durchführten. MikroTik erklärte, dass die Bedrohungsakteure hinter dem Angriff Schwachstellen ausnutzten, die 2018 und 2019 behoben wurden, aber von den Nutzern nicht angewendet wurden. Ich hatte im September 2021 im Blog-Beitrag MikroTik Router-Absicherung gegen CVE-2018-14847 über das Thema berichtet.

Zudem gibt es diesen Beitrag der Kollegen von Bleeping Computer, der berichtet, dass Dark Mirai-Botnet TP-Link-Router über eine RCE-Schwachstelle angreift und übernimmt. Das Botnet wurde dabei beobachtet, wie es eine neue Schwachstelle im TP-Link TL-WR840N EU V5 ausnutzt.

Die Schwachstelle CVE-2021-41653 wird durch eine anfällige "Host"-Variable verursacht, die ein authentifizierter Benutzer zur Ausführung von Befehlen auf dem Gerät missbrauchen kann. TP-Link hat die Schwachstelle durch die Veröffentlichung eines Firmware-Updates (TL-WR840N(EU)_V5_211109) am 12. November 2021 behoben. Viele Benutzer haben das Sicherheitsupdate jedoch noch nicht installiert.

Artikel des Security-Adventskalenders
1. Microsoft Defender Version 1.353.1874.0 meldet fälschlich Trickbot/Emotet
2. Windows 10/11: Falle beim "trusted" Apps-Installer; Emotet nutzt das
3. Beispiele für Viren-Mails nach Übernahme eines Exchange-Servers
4. Phishing-Angriffe von Staatshackern über neue RTF-Template-Injection-Technik
5. BSI-Empfehlung: Reagiert nicht auf SPAM-Mails
6. Android App Barcode Scanner Lite mit Trojaner – öffnet zufällige Webseiten
7. Cyberangriff auf SPAR-Lebensmittelgeschäfte in Yorkshire/England
8. Excel XLL-Addins für Malware-Installation missbraucht
9. Hellmann Logistics Opfer eines Cyberangriffs
10. Cloud-Dienste über USB-over-Ethernet-Schwachstellen angreifbar
11. Malware in Android Apps am Beispiel von GriftHorse
12. Azure Privilege Escalation durch Missbrauch der Azure API-Permissions
13. Phishing-Angriffe auf deutsche Kunden nutzen QR-Codes, um Bankdaten zu stehlen
14. Mirai Botnet Moobot zielt auf Hikvision-Kamerasysteme
15. Windows, TPM, MEM, und Intune: Hürden beim Motherboard-Wechsel
16: Häufige Login-Versuche an Routern (FRITZ!Box)
17: Insides zu Irelands Public Healthcare Ransomware-Fall
18: Sennheiser legt Kundendaten über alte Cloud-Instanz offen
19: Analyse, wie TeamTNT Docker-Hub-Konten kompromittiert
20: CPUID Enumerator and Decoder: Virenfrei, aber von Virustotal geflaggt
21: Google Play Protect: Bei Android-Sicherheitstests im Sommer 2021 durchgefallen
22: Tipps für mehr Schutz gegen Smishing-Attacken
23: BSI warnt: Erhöhte Bedrohung durch Ransomware-Angriffe zu Weihnachten
24: Google Zweifaktor-Authentifizierung (2FA), was man wissen sollte


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit Router, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

24 Antworten zu Häufige Login-Versuche an Routern (FRITZ!Box)

  1. Paul sagt:

    Zum Thema "Überspezifische Dementi" :)
    Es geschah zu der Zeit als Wünschen noch geholfen hat.
    Fritz.box vom Provider gestellt .
    Kunde will den Router selbst verwalten. Provider gestattet es.
    Kunde untersagt natürlich externen Zugriff resp. Prüft es. Alles gut.
    Groß war seine Überraschung das dieser einige Zeit später irgendwie doch vom extern erreichbar war. Kunde schaltet es wieder ab. Alles gut..ein commit vergessen?
    Irgendwann wird der Kunde gefragt warum er nicht mehr ans Telefon gehe. Probiert mit handy, Telefon klingelt beim Kunden nicht. Uups.
    Kunde rufe von seinem Telefon sein Handy an:
    Handy klingelt, es wird eine völlig andere Nummer angezeigt. Uuups. Kunde ruft diese fremde Nummer vom Handy an. Sein Telefon klingelt. uups… Alptraum?
    Kunde ruft Provider Hotline an. Der Hotliner schaltet sofort den Anschluß ab. (der Kunde könnte ja auf fremde Kosten telefonieren… )
    Es stellte sich heraus, das der Provider die Fritz.box über seinen Wartungkanal komplett neu konfiguriert hatte, mit den Daten für einen anderen Kunden, der gesperrt worden war und nun wieder freigegeben werden sollte IIRC
    Der Provider würde sich am Montag sofort kümmern… (es war Wochenende).
    Kunde hatte aber Backup der Fritz.box gemacht. Macht Restore, Telefon geht ja eh nicht. (dieser Teil war vkm Provider nicht geändert worden)
    Und, unglaublich, sein Telefon geht wieder, mit der richtigen Nummer. Von seinem Backup..
    Kann wer diese Geschichte erklären?

    So weit die Geschichte mit der +werksseitig+ sicher konfigurierten Fritz.Box… Gilt das auch für andere Boxen?

    Das da irgendwo noch was vom Provider drin steht konnte man nicht sehen. Natürlich dss ADSL login.
    Man konnte aber im Account auf dem Server des Providers sehen, das da für jede Rufnummer ein SIP-password abgelegt wurde, das der Kunde lt. Webseite jeden Monat ändern soll… (aber natürlich nie geändert hat weil nirgends dokumentiert)

    Evtl. Kam es auf diesem Weg auch dazu das der externe Zugriff freigegeben worden war?

    Wie kann man das Testen?
    Portscan seiner eigenen IP?

    • Günter Born sagt:

      Warten wir, ob noch was an Feedback kommt. Ggf. kann ich das mal separat thematisieren, bräuchte dann aber auf direktem Weg einige Details.

      • Berthold Fuld sagt:

        Auch ich stelle Anmeldeversuche von der genannten IP fest, unter verschiedenen Benutzernamen. 1&1 meinte übrigens, dass es sich um eine lokale IP handeln würde.

    • clem-glose sagt:

      da gibbet nüscht zu testen, eigentlich – weil, ne fritz ist per default – SEIT (mittlerweile) JAHREN – eig. so eingestellt, dass normalerweise(!) nichts passieren kann. Weil alle heiklen Dinge wie zB. box aus dem Inet erreichbar abgestellt sind!
      All die dinge, die auch in diesem Beitrag (mal wieder) beschrieben sind, sind von usern nachträglich selbst verursacht worden (= rumgefummel am router ("weils geht") – meist ohne richtig Ahnung zu haben…)!
      Abgesehen davon, wieso muss ein Router via Inet erreichbar sein? Das ist sowieso Mega-Unsinn!!

      • Paul sagt:

        Danke für Deine haltlosen Unterstellungen.

      • PattyG sagt:

        ->"Abgesehen davon, wieso muss ein Router via Inet erreichbar sein? Das ist sowieso Mega-Unsinn!!"<-

        So so, dann machen also Millionen von IT-Profis den ganzen Tag nur Mega-Unsinn??? *kopfschüttel*

        • clem-glose sagt:

          nur: "IT Profis" (wirkliche!) machen sowas nicht.
          Oh köppchen-schüttelant (ahnungsloser)…
          :-P

        • Dat Bundesferkel sagt:

          Ihr haut hier die FRITZ!Boxen mit "echten" Routern in einen Topf.

          Tatsächlich ist es in der IT Best Practize den Router NICHT ans Internet zu lassen. Dessen Aufgabe ist dann aber auch nur das routen. Der hängt hinter einer Firewall.

          Das ist für "uns" Heimanwender natürlich schon etwas komplexer umzusetzen.

          Netzabschluss -> Modem -> Firewall -> Router -> Firewall -> verschiedene IP-Ranges / V-LANs

          Die beliebte FRITZ!Box vereint natürlich vieles. Und kann architekturbedingt dafür kaum etwas richtig. Aber im Vergleich zu Konkurrenzprodukten ist sie immer noch gut.

          Trotzdem würde ich jedem empfehlen, Funktionen nicht über die FRITZ!Box bereitzustellen, sondern via dahinterliegende Rechner, die jeweils durch eine Firewall geschützt sind.

          clem-glose hat da nur eine recht… freundliche Art auf diesen Umstand hinzuweisen.

    • Herr IngoW sagt:

      Zitat:
      "Fritz.box vom Provider gestellt ."
      "So weit die Geschichte mit der +werksseitig+ sicher konfigurierten Fritz.Box…"

      Ist doch ein Provider-Gerät, da kann dann wohl nicht von "Werkseitig Sicher" gesprochen werden, denn man weis ja nie was die Provider da ändern.
      Vom Provider gestellte Geräte würde ich immer als potenziell Unsicher bezeichnen.

      • Anonymous sagt:

        Mein eigenes Netz beginnt *hinter* der Betreiber-FritzBox mit einer eigenen FritzBox, die immerhin 0.09 Versionen aktueller ist ;) Ich bilde mir damit ein, zumindest im Internet sicherer unterwegs zu sein. Bin ich hier auf dem Holzweg? Die Festnetz-Telefonie kann ich über die eigene FB natürlich nicht steuern.

        Viele Änderungen an den Einstellungen der Box müssen doch auch per 2. Faktor angeschlossenes Telefon/Knopf drücken bestätigt werden. Ist das nur "Sicherheit ggü. DAU" oder hat das weitere Vorteile hinsichtlich Hackbarkeit?

        • Anonymous sagt:

          Wow, ich fasse es nicht: um 11 Uhr wurde mir eine Mail vom Provider Vodafone zugesandt, dass v7.29 für die 6490 Cable ab 05. Januar 2022 zur Verfügung stehe! Ich bin jetzt *echt* positiv überrascht! Ich hätte mit locker einem Jahr Verzug gerechnet…

      • Paul sagt:

        Jupp. So war das auch gemeint.
        Ich dachte der Kunde hätte "root", aber dem war nicht so, da sie die Rufnummern ändern konnten.

    • Blackii sagt:

      Moin!

      Da würde ich nochmal nach TR-069 Einstellung bei der FritzBox, unter Heimnetz // Netzwerk // Netzwerkeinstellungen // Heimnetzfreigaben -> Zugriff für Anwendungen zulassen, schauen 🤷‍♂️

      MfG,
      Blackii

      • Paul sagt:

        Das TR-069 wird es wohl sein. Thanks!
        Ich glaueb das kann ich nicht abstellen.
        Darüber können sie aber die komplette Telefonseite einstellen,
        z.B. um Kunden zum zahlen zu bewegen.
        Aber ich finde grauslig, das man nur die Box ändern muß und ein anderer Kunden wird…

  2. Garry sagt:

    Ich verwalte etwas über 100 Fritz!boxen.
    Nur an EINER Box kann ich diese wiederkehrenden (und bisher erfolglosen) Login-Versuche von der oben genannten IP-Adresse seit ungefähr Nov.2021 auf einem Port der Box oberhalb 40.000 feststellen.
    Natürlich sind alle Router NICHT auf 443 erreichbar und Firewall-Stealth Mode ist auf allen Routern enabled.
    Ich weiß … das ist nur Security by Obscurity, aber bisher (läuft ca. ca. 5 Jahren problemlos) keine Probleme …
    Und ja, ich habe ein sicheres Passwort (hoffe ich zumindest) und der Login-Name ist nicht Admin …

    • PattyG sagt:

      Bei mir analog Deiner Schilderung (allerdings nur schlappe 5 FBs ;-) geöffnete Ports oberhalb 45000 und ganz sicher nicht 443.
      Auf allen 5 FBs gibt es seit über 3 Wochen fast täglich Loginversuche.
      Alle Sicherheitsmaßnahmen, die eine aktuelle FB ermöglicht, sind "scharf geschaltet".
      Zwar gibt es keine 100%-ige Sicherheit, aber diese Maßnahmen sind schon recht effektiv.
      Vorausgesetzt natürlich, man wählt keine 08/15-Login-Daten/Passwort-Kombinationen.
      Eigenartigerweise handelt es sich bei den Benutzernamen, mit denen der "Angriff" durchgeführt wird, um sehr viele unterschiedliche E-Mail-Adressen aus einer vermutlich geleakten Login-Datenbank. Also nicht nur Admin etc.
      Beim letzten Mal im März 2021 (s. Artikellink im Beitrag oben) hatte ich die Ports geändert und dann war Ruhe im Karton. Dazu habe ich aber jetzt keine Lust und ich hoffe, dass sich endlich jemand erbarmt und die 193.46.255.150 aus dem Netz kickt.

  3. Singlethreaded sagt:

    Das scheint aber nix Neues zu sein. In den Logs meiner Firewall wurde die IP auf Port 443 seit dem 13. Juni 2021 95 mal geblockt. Die Fritz!Box macht Port-Forwarding gegen eine PfSense. In der Regel nur ein Versuch am Tag, in der Spitze waren es vier.

    Gruß Singlethreaded

  4. Brüggemann sagt:

    Ist es mit einem Pihole sicherer?

    • Singlethreaded sagt:

      Ein PiHole ist doch ein interner DNS-Server im LAN, welche bestimmte DNS-Adressen auf Grundlage von Filterlisten sperrt und so die Erreichbarkeit bestimmter Dienste unterbinden soll. In der Regel geht es um das Blocken von Tracking und Werbung.

      Das hat aber mit dem Thema Fritz!Box hier nichts zu tun. In der Regel ist ein Pihole auch von außen nicht erreichtbar, sondern steht nur den interen Geräten im LAN zur Verfügung. Dort wird die IP-Adresse des PiHole als Primary DNS Server hinterlegt.

      Gruß Singlethreaded

  5. Herr IngoW sagt:

    Der Betreiber scheint aus Rumänien zu kommen.
    Abfrage hier: https://www.findip-address.com/193.46.255.150

    Standort der IP-Adresse 193.46.255.150
    Suchen Sie nach Informationen über den Standort, der der IP-Adresse 193.46.255.150 zugeordnet ist.

    Stadt
    nicht zur verfügung gestellt
    Land
    Rumänien (RO) (99% Vertrauen)
    Kontinent
    Europa (EU)
    Zeitzone
    Europa/Bukarest

  6. Jupp sagt:

    Ich finde eine Portweiterleitung extrem fahrlässig. Schon ein Angriffversuch sollte unterbunden werden.
    Hatte inzwischen einige Kunden-FBs, wo u.a. eine Weiterleitung auf 443 zum RDP eines PC geleitet wurde. Somit sofort angreifbar. Bei 1 Neukunden scheint ein Angriff erfolgreich gewesen sein. PC angegriffen, verschlüsselt und ende.
    Diese Art der Konfig hab ich von "Kollegen" öfters gesehen. Überall in den FB Protokollen 1-4 Angriffe pro Nacht (IMMER Nachts). Unterschiedliche Absendeadressen.
    Ich frage mich, warum so selten VPN genutzt wird. Mehrstufige Sicherheit (ja, auch bei der FB). VPN User keine Rechte auf der FB was zu ändern. Stealth-Mode an und dieses beschissene UPNP ausschalten.
    Seit dem ist Ruhe.
    Man kann jeden Router fahrlässig Konfigurieren. Meisst geschieht es aus Bequemlichkeit.

    • Dat Bundesferkel sagt:

      Eine Portweiterleitung ist nun jedoch eine Notwendigkeit, wenn man selber Dienste hostet, die von außen erreichbar sein sollen.
      Aber ja, es ist richtig, daß es völlig egal ist, ob man nun EINEN oder HUNDERT offene Ports hat – man kann auch Dienste durch unübliche Ports schleusen (auch den VPN-Port).
      VPN ist kein Allheilmittel und schützt in keiner Weise vor externen Angriffen. Ebenso wenig, wie es der Anonymisierung dient. Das ist auch nicht die Aufgabe eines VPN.
      Beim UPNP bin ich voll und ganz bei Dir – dies ist eine unsägliche Funktion für super Faule.

      Stealth-Mode ist allerdings nichts weiter als Schlangenöl. Ich erkläre Dir mal kurz warum: Im Stealth-Mode reagiert die FRITZ!Box nicht mehr auf alle ICMP-Anfragen. Klingt im ersten Moment brauchbar (wobei ICMP teils echt notwendig ist im Internet). Wenn ich aber jemanden anpinge und dank Stealth-Mode keine Reaktion erhalte (anstelle einer sauberen Nicht-Erreichbarkeitsmeldung) kann ich als Angreifer 1+1 zusammenzählen: Nämlich daß ich gerade erfolgreich ein Gerät entdeckt habe.

      Stealth-Mode ist ähnlich sinnvoll, wie die SSID/MAC zu verstecken. Da wird einem falsche Sicherheit vorgegaukelt, mit der sich nur Unbedarfte beeindrucken lassen – jeder Netzwerker bricht da in schallendes Gelächter aus.

  7. Florian sagt:

    Bei mir bis vor einigen Tagen auch ständig vereinzelte Anmeldeversuche von 193.46.255.150 (peenq.nl). Was mir nicht ganz klar ist: Ist die Anmeldung aus dem Internet nicht nur über die MyFritz-URL möglich, die aus zufälligen Zeichen besteht?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.