AVM hat gerade zu kämpfen: erst der bevorstehende Verkauf, dann die Übernahme der fritz.box Domain und nun häufen sich Angriffsversuche auf das Heimnetzwerk, wenn der MyFritz-Dienst genutzt wird. Laut einigen Beobachtern scheint es so, als versucht jemand, von außen auf die FRITZ!Box zuzugreifen. Auch Leser von Borns IT-Blog scheinen davon betroffen zu sein. Möglicherweise hat es euch auch schon erwischt.
Was gerade passiert:
Besitzer einer FRITZ!Box, welche den MyFritz-Dienst inklusive des Fernzugriffs nutzen, sind gerade Opfer von einem externen Zugriffsversuch. Angreifer versuchen aktuell, sich auf die Benutzeroberfläche eurer Box anzumelden. Der Angriff findet dabei immer von derselben IP-Adresse statt. Zusätzlich kommen auch E-Mail-Adressen oder Klarnamen zum Vorschein. Dabei wird mit der berüchtigten Brute-Force-Methode eine Reihe an Nutzernamen und Passwörtern abgefragt, mit der Hoffnung, dass irgendwann mal die richtigen Log-in-Daten genutzt werden.
Wie kann ich mich Schützen?
Aktuell gibt es noch keine offizielle Stellungnahme seitens AVM. Es ist aber hilfreich, den Zugriff von außen mit dem MyFritz-Link vorerst zu deaktivieren. Falls dennoch ein Zugriff nötig sein sollte, könnt ihr auch eine VPN-Verbindung über IPSec oder WireGuard einrichten. Bis offizielle Informationen von AVM veröffentlicht werden, solltet ihr also die genannten Maßnahmen ergreifen, um euch zu schützen. Jetzt würde uns noch interessieren, ob unsere Leser auch schon einen Angriff mitverfolgt haben. Lasst uns dazu gerne einen Kommentar unter diesem Beitrag da.
Irgendwie passiert in Bezug auf AVM in der letzten Zeit immer mehr, was nicht gerade für Vertrauen sorgt…
So? Die Zugriffsversuche bringen ja nichts. Genaus könnten Dich Passanten besorgen, die in Deinen Garten steigen wollen, aber nicht auf und über den Zaun gelangen.
Hi, ja stelle auch gerade solche Versuche fest. MyFritz direkt deaktiviert. Danke für die Info!
Ja, auch bei mir sind solche Versuche dokumentiert. Das ganze hat allerdings schon 2021 angefangen. Eine hier nicht erwähnte Maßnahme ist auch die IP-Adresse zu sperren. Das funktioniert in neueren FritzBoxen.
Für alle, die sich fragen, wo genau das geht (so ging es mir
)
Auf der Fritzbox über Internet –› Filter –› Listen: Eintrag „IP-Sperrlisten“
Über Monate habe ich auch diese Eindring-Versuche gehabt. Offensichtlich ist mal irgendwo ein Datenabfluss von MyFritz-Adressen geschehen…
Bei mir habe ich die MyFritz-Adresse geändert und nun ist seit Wochen alles wieder ok.
Hab auch mal bei meiner 7530 reingeschaut, es sind zum Glück nur meine eigenen Anmeldungen in der Liste zu sehen, trotz aktiviertem Fernzugriff. Hab das Feature trotzdem mal deaktiviert.
Solche Zugriffe habe ich schon vor längerer Zeit bemerkt. Seit ich die Freigabeports für den Zugriff auf den Webserver gelöscht habe, habe ich keine Zugriffsversuche mehr registriert.
Es ist doch die Wochen erst wieder ein „Datenpaket“ Mit Millionen Adressen und PW aufgetaucht. Da ist es vollkommen normal das Geräte die im Internet erreichbar sind durchprobiert werden, hat man sichere PW die in keinem Hack betroffen waren passiert da gar nix!
Auch Webmailer und Sonstige IoT Geräte werden gerade „attakiert“. Business as usual.
Ist doch nach jedem Datenleck so.
Einfach sichere PW verwenden und nicht jeden Shice unnötig ins Netz hängen! Ottonormalo braucht keinen Zugriff auf die Fritzbox Oberfläche aus dem Internet. Und der Pro nutzt ne richtige VPN und kein MyFritz.
Wieder mal die übliche Presse ne Mücke zum Elefanten aufbauschen.
Das sie auch nicht die Multifaktorauthentifizierung enforcen wenn das Ding im Internet steht.
Dass Du auch nie auf Rechtschreibung achtest, wenn Du öffentlich kommentierst.
Habe den Fernzugriff bei meiner 6660 schon immer deaktiviert.
Der Hinweis auf VPN mit Wireguard scheint hier wenig Sinn zu ergeben.
Wenn ich es richtig verstanden habe, setzt Wirguard ein MyFritz Konto voraus. Sonst funktioniert Wireguard nicht, zumindest in der Fritzbox.
Ja, aber ich glaube hier geht es eher um Mobile Geräte die Apps wie zum Beispiel MyFritzAPP verwenden, hierfür werden imho andere Ports (443)in der Box verwendet als die VPN Ports.
Du kannst in der Box sämtliche Zugriffe von außen sperren, auch für alle Benutzer, per VPN Tunnel kommst du aber immer noch von außen drauf.
VG
Dies kann ich nicht bestätigen!
Ich nutze bei meiner Verbindung zwischen zwei Fritz!Box Netzwerken VPN mit IPSec.
Mit meinen Clients (Notebooks) extern auf die Fritz!Box gehe ich mit Mobilfunk und WireGuard.
In meiner Fritz!Box benutze ich einen anderen DynDNS Dienst als den von AVM. Diesen MyFritz Zugang habe ich somit nicht eingerichtet. Es hörte sich immer schön an, was AVM mit Ihrem eigenen Dienst bietet und auch auf seinen Dienst beschränkt (Energieanzeige, Wetter auf den Fritz!Fon’s, etc.), aber es war für mich eine Frage der Zeit, bis genau dies passiert. Und es macht einen Unterschied, ja! Ein Routerhersteller der in fast ganz DE agiert und auch noch DynDNS-Dienste an sein Produkt koppelt ist natürlich ein ganz anderes Ziel für entsprechende Gruppierungen!
Moin zusammen, einfach die genanten ips in der FRITZ!Box sperren.
Dann habt ihr erstmal Ruhe.
https://www.borncity.com/blog/2024/03/11/externe-zugriffsversuche-auf-fritzbox-systeme-die-per-internet-erreichbar-sind-mrz-2024/
die angriffe kommen aktuell immer von der gleichen IP
einfach unter Internet –> Freigaben –> Listen „193.46.255.0/24“ eintragen dann ist erstmal ruhe!
Nicht mal das klappt!
Internet – Filter – Listen …..bei der 7590 AX
funktioniert erst ab Fritz.OS 7.50
Das habe ich in letzter Zeit auch schon beobachten und AVM per Mail kontaktiert. Diese konnten es auch bestätigen. das sperren der IP Adresse ist zwar erstmal Ruhe bis eine neue kommt dann geht der Spaß von vor los. Am besten regelmäßig reinschauen das mache ich schon ewig echt traurig das man so etwas auch machen muss. Technik hin und her alles soll digitalisiert werden aber zeitgleich steigt auch die Krimi.
Fritz!Box 7590 FRITZ!OS: 7.57
Internet –> Filter –> Listen –> IP-Sperrlisten–> Blockierte IP-Adressen: bearbeiten
Hier mal noch ein Ansatzpunkt zu der Meldung. Ich hatte vor ca. 1 – 1 1/2 Jahren auch schon mal dieses Problem. Jeden Menge unautorisierte Anmeldeversuche bei zwei Routern (7490 und 7590). Habe dann mal die Einstellungen in beiden Routern überprüft und festgestellt unter Einstellungen Internet / Zugangsdaten / AVM-Dienste / waren Diagnose und Diagnose und Wartung aktiv geschaltet. Diese habe dann deaktiviert und schon war Ruhe. Seit dem keine unautorisierte Anmeldeversuche mehr seit dem.
Da vielleicht der eine oder andere Smart Home verwendet wäre es kontraproduktiv MyFritz! zu deaktivieren. Die IP Adresse kann man ja zusätzlich sperren. Habe ich bis jetzt nicht gemacht.
Ja, und unter Heimnetz-> Netzwerk->Netzwerkeinstellungen > TR 064 „Zugriff für Anwendungen zulassen“ den Haken entfernen.
Am besten auch noch UPNP deaktivieren.
VG
Mein Datenschutzexperte (er macht das beruflich) meint, wenn die Fritzbox-Dienste deaktiviert sind, kann man das lassen.
Man kommt ggf. um UPnP nicht herum (so z.B. bei der Playstation 5). Man kann sich nicht für alle Spiele die benötigten Ports eintragen, dann lieber selbst öffnen lassen bei Bedarf (aber nur Spielekonsole). Ich wüsste nicht wie ich dies sonst regeln sollte (für einen sorgenfreien Spielegenuss).
Deaktivierung von TR-064 bedeutet auch, Einschränkungen in Fritz!Apps wie z.B. Fritz!App Fon!
Leider sind die Dinge nicht immer so einfach wie diese im ersten Moment scheinen. Es kommt halt immer darauf an, was der einzelne Nutzer an der Fritz!Box nutzt!
Ich habe die genannten Punkte jetzt doch deaktiviert. Ich kann noch telefonieren (Festnetz) und spiele nicht. Dann dürfte das ja wohl kein Problem sein.
Ist doch nun wirklich nichts neues, und muss eigentlich auch nicht aufgebauscht werden. Das hatte ich schon vor Jahren, solche Zugriffsversuche. Man sollte halt den Zugriff von extern auf die Weboberfläche deaktivieren, sich VPN einrichten (oder Wiregurad), und dann darüber zugreifen, dann passiert das nicht mehr. Das deaktivieren des MyFritz Kontos ist in meinen Augen völlig übertrieben.
Das Sperren bestimmter IP’s bringt kaum was, die ändern sich schneller als man gucken kann.
Im übrigen, alle wichtigen Zugriffs- und Sicherheitsfunktiontionen sind 2FA gesichert, selbst wenn der Angreifer an das Passwort kommen würde. Aber nur, sofern die Funktion aktiviert ist. Eigentlich sollte das seit den letzten Firmwares Standard sein, es sei denn man hat es noch als ganz alte Einstellung deaktiv. Bei neueren Geräten ist das Pflicht, und lässt sich nicht mehr ausschalten.
Bei den Synology NAS hatte ich solche Zugriffsversuchen ebenfalls, weil ich den externen Zugriff auf die Weboberfläche dort auch aktiviert hatte. Das habe ich nun auch deaktiviert und Zugriff per VPN eingerichtet, seitdem ist Ruhe.
Man sieht, überall wo man Zugriff per http(s) auf die Weboberfläche von extern freigibt, kann es zu solchen Zugriffsversuchen kommen.
Das Problem hat also nicht nur AVM.
Ist ja nicht mal ein Problem…. wird ja nur protokoliert das versucht wurde zuzugreifen und gescheitert ist.
Vollkommen normal soabnld etwas öffentlich im Internet hängt.
Wenn die nun damit massig AVM Router übernohmen hätten, dann wäre das ein Problem, ist aber nicht der Fall!
MyFritz-Dienst/e nutze ich nicht.
Die bekannte IP „193.46.255.151“ habe einfach geblockt, so rein vorsichtshalber.
7520er Fritzbox, Internet; Filter-> Listen -> „Blockierte IP-Adresse:bearbeiten“
Ist dann wie ein txt-File, einfach die IP eintragen speichern/übernehmen und fertig.
Gruss
Da kannst Du folgende IP’s gleich mit auf die Sperrliste setzen
2.57.121.114
2.57.121.127
23.90.153.228
51.158.24.157
193.46.255.151
193.118.38.106
Das sind die Versuche seid Februar…
Ich hab nun eine zweite IP in den Logs gehabt:
192.46.255.151
193.46.255.151
Das war schon vor langer Zeit ein Thema, interessanterweise kommen die Anmeldeversuche mit demselben Muster immer noch aus dem Netz 193.46.255.0/24. Der Täter wurde wohl nie gesucht oder gefasst…
Ich habe dieses IP-Netz schon damals in die Liste der geblockten IPs aufgenommen und seit dem nie wieder solch einen Versuch vermerkt.
Warum nur wird der Fall in der Presse erneut aufgebauscht?
Naja, eure Überschrift hier ist schon ein bisschen… reißerisch. Bisher ist, Brute-Force hin oder her, zumindest noch kein erfolgreicher Zugriff bekannt geworden. Es sind halt Versuche, in meinem Fall war das immer etwa rund zwei Dutzend pro Nacht, was dann über ein paar Tage ging, dann war erstmal wieder für ein paar Wochen Ruhe. Das man mit einer so… gemächlichen… Passwortattacke wirklich irgendwann einen erfolgreichen LogIn hinbekommt, ist zumindest in meinem Fall weitestgehend ausgeschlossen.
Und ja, die Versuche – immer aus dem gleichen kleinen IP-Range, gibt es schon länger. Ich hatte den Spaß das erste Mal letzten Oktober. Ich hab den entsprechenden IP-Bereich dann irgendwann auf die Blocklist gesetzt, einfach weil die Versuche im Log mich irgendwie getriggert haben und seitdem ist Ruhe. Grundsätzlich kann man aber in meinem Netzwerk nur allein dadurch, dass man auf den Router kommt, eh noch nicht wirklich Schaden anrichten, da man schlicht nicht einfach so auf andere Geräte kommen würde. Und selbst die sensibleren Einstellungen der Fritzbox sind ja extra nochmal durch zusätzliche Bestätigungen entweder per physischen Tastendruck oder 2FA Code geschützt.
Hallo,
ich hatte genau auch am 9.03.2024 einen solchen Angriff in dem selben Zeitraum von ca. 9:00 bis 16:00 mit vielen identischen Usernamen wir in Eurem Beispiel.
LG Peter
Im Titel des Betrages fehlt eindeutig ein ‚?‘ am Ende!
Und
Schon interessant was da gleich wieder für unqualifizierte Kommentare auftauchen.
„Einfach sichere PW verwenden und nicht jeden Shice unnötig ins Netz hängen! Ottonormalo braucht keinen Zugriff auf die Fritzbox Oberfläche aus dem Internet. Und der Pro nutzt ne richtige VPN und kein MyFritz.“
Da stimmt nur das erste und dann wird es gruselig, was bildet sich der Schreiber eigentlich ein festzulegen was Ottonormalo braucht oder nicht? Davon was VPN und MyFritz! ist, hat der Pro und so manch einer der MyFritz! gleich abgeschaltet hat oder es will offensichtlich so gar keine.
Für den Zugriff aus dem Internet ist hinsichtlich MyFritz! erst mal wichtig, was macht das denn? MyFritz!NET ist der kostenlose DynDNS-Dienst von AVM, der die jeweils aktuelle IP-Adresse zurückliefert. Ist der gefährlich? Nein! außer der IP-Adresse der FRITZ!Box, die man braucht, um überhaupt erst mal ein VPN aufbauen zu können, liefert er nix. Was kann man sonst noch damit tun? Man kann sich vor die FRITZ!Box hinhocken und die Zugänge durchprobieren, um auf die Oberfläche der FRITZ!Box zu kommen, wenn ich mich recht erinnere, gibt es da immer länger werdende Wartezeiten.
Wozu man aber erst mal die MyFritz!-Adresse, bzw. den MyFRITZ!-Internetzugang haben müsste, um auf eine bestimmte Box zugreifen zu können. – Die verteilt man aber eher nicht wie Hustenbonbons.
Ist das gefährlich? Wenn man ‚ftpuser‘ als Nutzername und ‚12345678‘ als Passwort hat vermutlich schon, da den AVM mal als Nutzer vorgegeben hat, ist der ’subjekt to delete‘, wird also erst mal gelöscht.
Wenn man normale Nutzernamen und Passwörter für die FRITZ!Box verwendet, eher nicht.
Beide dürfen 32 Zeichen lang sein, könnte zumindest beim Passwort gerne länger sein, langt aber auch.
Der Benutzername darf aus Groß- und Kleinbuchstaben, Ziffern und ‚_‘, ‚-‚, ‚.‘ bestehen. Man sucht sich also einen, zwei, drei Passphrases macht ein/mehrere Akronym(e) draus und streut die drei zulässigen Sonderzeichen ein.
Beim Passwort kann man mehr Sonderzeichen nutzen – was man auch tut, aber ansonsten dasselbe Spiel, Groß- und Kleinbuchstaben kombiniert mit Zahlen und Sonderzeichen. Das sind eine Menge Kombinationen.
Da wünsche ich dem geneigten Angreifer viel Spaß, das in der zur Verfügung stehenden Zeit von 24 Stunden zu lösen. Danach ist die FRITZ!Box von Ottonormalo nämlich in der Regel weg, entweder hat der Provider getrennt oder die FRITZ!Box hat es irgendwann in der Nacht mal getan.
Dazu kommt, dass man ja nicht jeden Nutzer alles tun lassen muss. Aber ich wüsste jetzt nicht, warum man seine FRITZ!Box samt MyFritz! aus dem Internet verbannen sollte. Dann funktionieren nämlich so sinnvolle Werkzeuge wie, BoxToGo, etc. auch nicht mehr und der Zugang zum heimischen NAS wird etwas schwierig. Wir haben ja schon festgestellt, erst mal brauchen wir den AVM-Dienst um an die IP-Adresse zu kommen um ein VPN zur Box und dem Netzwerk dahinter aufbauen zu können. Braucht der Profi natürlich nicht, der baut sein VPN einfach so auf, mit einer festen IP-Adresse ist das ja auch kein Problem. In dem Fall, eventuell aber schon, an der Box, die an einer festen IP-Adresse hängt, kann man länger arbeiten.
Langer Rede kurzer Sinn, wenn man etwas Hirn einsetzt, ist der Betrieb der FRITZ!Box auch mit Zugang aus dem Internet problemlos möglich, man muss halt beim Nutzernamen und Passwort etwas Hirn einsetzen.
Vornamen, ftpuser oder BoxToGo sind jetzt eher schlechte Nutzernamen. Lange Nutzernamen, die für sich gesehen schon ein Passwort sind, weil sie in keinem Wörterbuch stehen, kombiniert mit einem Passwort von 32 Zeichen, bei dem die gesamte Kombinationsvielfalt der zulässigen Zeichen eingesetzt wurde, sollten für den Normaluser völlig ausreichend und sicher sein.
Da muss jetzt niemand hyperventilieren, weil irgendjemand beliebige IP-Adressen abklappert und dann Nutzernamen und Passwörter durchprobiert, das ist nichts Neues und der probiert es bestimmt nicht nur bei den FRITZ!Boxen, sondern bei allen anderen Routern, die er im Netz findet, auch.
Businness as usual, nicht weiter schlimm, aber es sollte den ein oder anderen vielleicht einfach mal darüber nachdenken lassen, ob ein einziges Passwort mit sechs oder acht Zeichen für alles noch zeitgemäß ist.
Bei mir waren die gescheiterten Anmeldeversuche von fremden Benutzern in der Zeit vom 2.3.24 bis einschließlich 9.3.24. (7590)
Ich „warte“ mittels MyFritz die Fritz!Box 7412 meiner Eltern, welche nahezu ausschließlich zum Telefonieren genutzt wird (Blocken unbekannter Rufnummern, usw.).
IPs kann man dort nicht blocken, sondern nur URLs. Das Passwort für den Nutzer, mit dem ich auf die Box zugreife ist allerdings ziemlich lang und komplex (Groß-/Kleinbuchstaben, Umlaute, Sonderzeichen, Ziffern).
Muss man sich da nun sehr große Sorgen machen?
Wie ich sehen konnte, gab es dort nämlich in der letzten Zeit ebenfalls Angriffe.
Bei mir seit dem 23.02.2023 fast jeden Tag von verschiedenen IP-Adresse. Danke für Eure Info.
Wenn das alles ist, sind die Versuche sind ziemlich dilettantisch, frei nach dem Motto, man kann es ja mal versuchen…
Ein stabiles Passwort dürfte ausreichen.
Korrektur: ….seit dem 23.02.2024…
Also bei mir ist es ruhig. Keiner Versuch zu erkennen.
Hallo, bei uns ging es in gleicher Weise wie oben gezeigt. Nach Deaktivierung der Fernwartung hörte es auf.
Ich habe das auch seit ca. 3 Wochen gehabt, aber seit 2 Tagen hat sich niemand mehr versucht an zu melden.
Bei mir begannen die Versuche am 29.2. – Es gab sehr viele Fehlersuche. Zuletzt am 14.3. – Ich habe jetzt den Fernzugriff deaktiviert.
IP Adresse immer 193.46.255.151 der Angreiferseite.
Mich hat es auch erwischt, hatte das aber schon einmal, Fernzugriff ausgeschaltet und gut ist. Komme ja noch mit VPN rein.
Als Betreuer und Verwalter eines wirklich kleinen Heimnetzwerkes eines Vereines sind mir unauthorisierte Zugriffsversuche deshalb nicht verborgen geblieben, weil ich in regelmäßigen Abständen die protokollierten Ereignisse der Fritzbox kontrolliere und auch dokumentiere. Daraufhin habe ich mit zwei Webtools verschiedener Websites die Herkunft der benutzten IP-Adresse relativ genau ermitteln können. Die verwendeten Benutzernahmen waren oft Klarnamen mit deutschem Bezug. Für diese Angriffe werden meiner Ansicht nach sowohl Portscanner, als auch Software benutzt, um sämtliche für den deutschen Adressraum verfügbaren IP-Adressen durchzuchecken.
solche Versuche gab es schon immer und AVM hat ua. in den FAQ auch schon manche Seiten diesbzgl. veröff.
unter Internet > Freigaben > Fritz!Box-Dienste – X Internetzugriff auf die FRITZ!Box über HTTPS aktiviert
des weiteren dem „TCP-Port für HTTPS“ einfach einen anderen geben und Ruhe ist.