{"id":260591,"date":"2021-12-16T00:03:00","date_gmt":"2021-12-15T23:03:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=260591"},"modified":"2023-06-18T01:48:41","modified_gmt":"2023-06-17T23:48:41","slug":"hufige-login-versuche-an-routern-fritzbox","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/12\/16\/hufige-login-versuche-an-routern-fritzbox\/","title":{"rendered":"Häufige Login-Versuche an Routern (FRITZ!Box)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Heute ist T\u00fcrchen Nummer 16 im Sicherheits-Adventskalender dran. Aktuell stellen Besitzer von Internet-Routern – speziell auf FRITZ!Box-Routern – wohl wiederkehrende Login-Versuche an ihren Ger\u00e4ten fest. Zumindest haben sich einige Leser bei heise mit entsprechenden Beobachtungen gemeldet. Und auch bei einer kurzen Recherche bin ich auf Postings gesto\u00dfen, die Zugriffsversuche von einer IP 193.46.255.150 des niederl\u00e4ndischen Hosters Peenq berichten. Bereits im M\u00e4rz 2021 hatte ich in einem Blog-Beitrag etwas \u00e4hnliches berichtet. Hier ein kurzer \u00dcberblick \u00fcber dieses Themenfeld.<\/p>\n

<\/p>\n

\"\"Ich hatte das Thema st\u00e4ndige Zugriffsversuche auf FRITZ!Boxen bereits am 1. M\u00e4rz 2021 im Blog-Beitrag Achtung: Scans auf FRITZ!Boxen von IP-Adresse 185.232.52.55 (Port 443)<\/a> aufgegriffen. Damals fanden verst\u00e4rkt Zugriffsversuche aus dem Internet von der IP-Adresse 185.232.52.55 auf Router (FRITZ!Box) statt, falls der Port 443 offen ist. Das war wohl ein Port-Scan \u00fcber ganze IP-Adressbereich des Internet, der seit 2020 l\u00e4uft, und angreifbare Router ausfindig machen soll.<\/p>\n

Neue Internet-Router-Anmeldeversuche<\/h2>\n

Mir ist das Thema in nachfolgendem Tweet<\/a> von heise untergekommen. Dort haben sich wohl verunsicherte Leser gemeldet, die in den Protokollen ihrer Router wiederkehrende Anmeldeversuche bemerkt haben.<\/p>\n

\"Internet-Router-Anmeldeversuche\"<\/a><\/p>\n

Die Frage im Raum lautet, ob Angriffsversuche bekannt sind und was man tun kann. Die heise-Redaktion hat alles wissenswerte zu diesem Thema in diesem Artikel<\/a> zusammen gefasst. Die Kurzfassung: Standardm\u00e4\u00dfig ist das FRITZ!OS auf den FRITZ!Box-Routern so eingerichtet, dass unbefugte Dritte keinen Zugriff auf den Router erhalten. Die Benutzeroberfl\u00e4che ist f\u00fcr Zugriffe aus dem Internet nicht erreichbar und f\u00fcr Netzwerkzugriff durch den Benutzer mittels Passwort gesch\u00fctzt.<\/p>\n

Die berichteten F\u00e4lle an Zugriffsversuchen erfolgen von einem IP-Bereich des niederl\u00e4ndischen Hosting-Providers Peenq<\/a> (IP 193.46.255.150 und weitere). Einen Forenpost habe ich bei Nickles.de bereits zum 17.11.2021 gefunden<\/a>. Auch die Abuse-Seite meldet die IP, wobei Bunea Telecom SRL in Nord-Holland als Besitzer genannt wird. Dort gibt es zahlreiche Meldungen vom Nov.\/Dez. 2021, dass diese IP die FRITZ!Box-Router kontaktiert und logins versucht werden.<\/p>\n

\"FRITZ!Box<\/p>\n

Dem Hersteller AVM ist keine Angriffswelle bekannt – AVM hat zum Thema diesen Beitrag<\/a> publiziert. Auch der heise-Artikel enth\u00e4lt einige Hinweise, was man ggf. tun kann. Auf meiner FRITZ!Box habe ich jedenfalls keine Zugriffsversuche sehen k\u00f6nnen.<\/p>\n

Mikrotik-\/TPLink-Router verwundbar<\/h2>\n

An dieser Stelle noch ein kurzer Hinweis an die Betreiber von MikroTik-Routern. MikroTik ist ein lettischer Hersteller von Routern und drahtlosen ISPs, der weltweit \u00fcber 2.000.000 Ger\u00e4te verkauft hat. Die Kollegen von Bleeping Computer berichten hier<\/a>, dass ca. 300.000 MikroTik-Router kritische Schwachstellen aufweisen, die Malware-Botnets f\u00fcr Kryptomining und DDoS-Angriffe ausnutzen k\u00f6nnen.<\/p>\n

Im August 2021 nutzte das M\u0113ris-Botnet Schwachstellen in MikroTik-Routern aus, um eine Armee von Ger\u00e4ten aufzubauen, die einen rekordverd\u00e4chtigen DDoS-Angriff auf Yandex durchf\u00fchrten. MikroTik erkl\u00e4rte, dass die Bedrohungsakteure hinter dem Angriff Schwachstellen ausnutzten, die 2018 und 2019 behoben wurden, aber von den Nutzern nicht angewendet wurden. Ich hatte im September 2021 im Blog-Beitrag MikroTik Router-Absicherung gegen CVE-2018-14847<\/a> \u00fcber das Thema berichtet.<\/p>\n

Zudem gibt es diesen Beitrag<\/a> der Kollegen von Bleeping Computer, der berichtet, dass Dark Mirai-Botnet TP-Link-Router \u00fcber eine RCE-Schwachstelle angreift und \u00fcbernimmt. Das\u00a0Botnet wurde dabei beobachtet, wie es eine neue Schwachstelle im TP-Link TL-WR840N EU V5 ausnutzt.<\/p>\n

Die Schwachstelle CVE-2021-41653 wird durch eine anf\u00e4llige \"Host\"-Variable verursacht, die ein authentifizierter Benutzer zur Ausf\u00fchrung von Befehlen auf dem Ger\u00e4t missbrauchen kann.\u00a0TP-Link hat die Schwachstelle durch die Ver\u00f6ffentlichung eines Firmware-Updates (TL-WR840N(EU)_V5_211109) am 12. November 2021 behoben. Viele Benutzer haben das Sicherheitsupdate jedoch noch nicht installiert.<\/p>\n

Artikel des Security-Adventskalenders
\n<\/strong>1.\u00a0Microsoft Defender Version 1.353.1874.0 meldet f\u00e4lschlich Trickbot\/Emotet<\/a>
\n2.\u00a0Windows 10\/11: Falle beim \"trusted\" Apps-Installer; Emotet nutzt das<\/a>
\n3.\u00a0Beispiele f\u00fcr Viren-Mails nach \u00dcbernahme eines Exchange-Servers<\/a>
\n4.\u00a0Phishing-Angriffe von Staatshackern \u00fcber neue RTF-Template-Injection-Technik<\/a>
\n5.\u00a0BSI-Empfehlung: Reagiert nicht auf SPAM-Mails<\/a>
\n6.\u00a0Android App Barcode Scanner Lite mit Trojaner \u2013 \u00f6ffnet zuf\u00e4llige Webseiten<\/a>
\n7.\u00a0Cyberangriff auf SPAR-Lebensmittelgesch\u00e4fte in Yorkshire\/England<\/a>
\n8.\u00a0Excel XLL-Addins f\u00fcr Malware-Installation missbraucht<\/a>
\n9.\u00a0Hellmann Logistics Opfer eines Cyberangriffs<\/a>
\n10.\u00a0Cloud-Dienste \u00fcber USB-over-Ethernet-Schwachstellen angreifbar<\/a>
\n11.\u00a0Malware in Android Apps am Beispiel von GriftHorse<\/a>
\n12.\u00a0Azure Privilege Escalation durch Missbrauch der Azure API-Permissions<\/a>
\n13.\u00a0Phishing-Angriffe auf deutsche Kunden nutzen QR-Codes, um Bankdaten zu stehlen<\/a>
\n14.\u00a0Mirai Botnet Moobot zielt auf Hikvision-Kamerasysteme<\/a>
\n15.\u00a0Windows, TPM, MEM, und Intune: H\u00fcrden beim Motherboard-Wechsel<\/a>
\n16:\u00a0H\u00e4ufige Login-Versuche an Routern (FRITZ!Box)<\/a>
\n17:\u00a0Insides zu Irelands Public Healthcare Ransomware-Fall<\/a>
\n18:\u00a0Sennheiser legt Kundendaten \u00fcber alte Cloud-Instanz offen<\/a>
\n19:\u00a0Analyse, wie TeamTNT Docker-Hub-Konten kompromittiert<\/a>
\n20:\u00a0CPUID Enumerator and Decoder: Virenfrei, aber von Virustotal geflaggt<\/a>
\n21:\u00a0Google Play Protect: Bei Android-Sicherheitstests im Sommer 2021 durchgefallen<\/a>
\n22:\u00a0Tipps f\u00fcr mehr Schutz gegen Smishing-Attacken<\/a>
\n23:\u00a0BSI warnt: Erh\u00f6hte Bedrohung durch Ransomware-Angriffe zu Weihnachten<\/a>
\n24:\u00a0Google Zweifaktor-Authentifizierung (2FA), was man wissen sollte<\/a><\/p>\n

Erg\u00e4nzung: Ein Blog-Leser hat sich gemeldet und schreibt:<\/p>\n

Den Artikel habe ich gefunden, weil ich das darin beschriebene Problem hatte und nach einer L\u00f6sung suchte.<\/p>\n

Die L\u00f6sung habe ich letztlich in folgender Forumsdiskussion gefunden: Fritz.Box Anmeldeversuche von unbekannten<\/a><\/p>\n

Dazu muss man aber leider beharrlich suchen und darf sich dabei nicht von dem r\u00fcden Ton in diversen Foren abschrecken lassen.<\/p>\n

Letztlich habe ich die L\u00f6sung bei mir verifiziert und f\u00fcr mich in der angeh\u00e4ngten Textdatei dokumentiert.<\/p>\n

Diese m\u00f6chte ich Ihnen zum Dank f\u00fcr Ihre gro\u00dfartige Blog-Arbeit zukommen lassen.<\/p>\n

Da ich mich nicht f\u00fcr den gr\u00f6\u00dften Experten auf diesem Gebiet halte, wollte ich meine Ergebnisse nicht direkt in die \u00f6ffentliche Diskussion zu Ihrem Artikel setzen. Vielleicht k\u00f6nnen Sie meine Notizen noch einmal pr\u00fcfen und Ihren Artikel ggf. erg\u00e4nzen.<\/p><\/blockquote>\n

Ich f\u00fcge die Textdatei des Lesers f\u00fcr Interessierte Leser einfach mal nachfolgend an.<\/p>\n

Hacking-Versuche aus dem Internet beobachtet
\n============================================<\/p>\n

2022-01-28: Fritz!Box in den Stealth Mode versetzt
\n==================================================<\/p>\n

Heute sah ich in den System-Ereignissen pro Tag mehrere, immer gleiche Hacking-Versuche:<\/p>\n

\"28.01.22 01:33:28
\nAnmeldung des Benutzers admin an der FRITZ!Box-Benutzeroberfl\u00e4che von IP-Adresse 193.46.255.150 gescheitert (falsches Kennwort).\"<\/p>\n

Der User \"admin\" ist in meiner Fritz!Box nicht definiert. Ich hoffe, dass es kein immer existierender Standard-User ist.<\/p>\n

Die Fritz!Box-Hilfe in den System-Ereignissen empfiehlt, solche Hacking-Versuche mit einem Whois-Check zu analysieren, z.B.
\nhttps:\/\/www.heise.de\/netze\/tools\/whois\/ – Ergebnis s.u.<\/p>\n

Den Hacking-Versuch habe ich also gemeldet an: report@peenq.nl
\npeenq.nl ist ein niederl\u00e4ndischer Anbieter von \"Server- und Netzwerkdiensten\", vermutlich das, was man einen \"Internet Service Provider (ISP)\" nennt.<\/p>\n

Die Fritz!Box-Hilfe empfiehlt in den Ma\u00dfnahmen unter Punkt (4):
\n\"Aktivieren Sie im Men\u00fc \"Internet \/ Filter \/ Listen\" im Abschnitt \"Globale Filtereinstellungen\" die Funktion \"Firewall im Stealth Mode\".\"
\nDies war bisher nicht der Fall und das habe ich jetzt getan.<\/p>\n

Eine Suche nach \"193.46.255.150\" mit Startpage ergab erstaunlich viele Ergebnisse, u.a.:<\/p>\n

Häufige Login-Versuche an Routern (FRITZ!Box)<\/a><\/p><\/blockquote>\n