{"id":315696,"date":"2025-09-12T12:33:11","date_gmt":"2025-09-12T10:33:11","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=315696"},"modified":"2025-09-12T13:05:03","modified_gmt":"2025-09-12T11:05:03","slug":"wurden-router-urls-sphairon-box-und-zyxel-box-gekapert","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/09\/12\/wurden-router-urls-sphairon-box-und-zyxel-box-gekapert\/","title":{"rendered":"Wurden Router-URLs sphairon.box und zyxel.box gekapert?"},"content":{"rendered":"

\"Sicherheit[English]Ich stelle mal ein Thema hier in den Blog, das mir jetzt von zwei Lesern gemeldet wurde und mich an einen alten Vorfall bei AVM zur fritz.box<\/em>-URL erinnert. Es sieht so aus, dass die von Routern (Zyxel, Sphairon) zum Zugriff auf die Router-Funktionen verwendeten URLs sphairon.box<\/em> und zyxel.box <\/em>durch registrierte Domains gekapert wurden. Die Zielseiten sind als \"malicious\" einzustufen.<\/p>\n

<\/p>\n

Erinnerungen an den fritz.box-Fall<\/h2>\n

\"\"Erinnert sich jemand noch an den Fall der gekaperten URL fritz.box\u00a0<\/em>aus dem Januar 2024? Normalerweise gelangt man bei Eingabe der URL fritz.box\u00a0<\/em>im Browser im lokalen Netzwerk auf die Benutzeroberfl\u00e4che der Fritz!Box.<\/p>\n

\"<\/a>
\nfritz.box Fake-Landing-Page<\/p>\n

Im Januar 2024 war es dann so, dass manche Nutzer bei Eingabe der URL fritz.box <\/em>an einem Ger\u00e4t nicht auf der Anmeldeseite der FRITZ!Box landeten, sondern werden auf eine externe Webseite umgeleitet wurden (siehe obigen Screenshot). Ich hatte den Fall hier im Blog in zwei Beitr\u00e4gen aufgegriffen (siehe Links am Artikelende).<\/p>\n

Wurden Router-URLs sphairon.box und zyxel.box gekapert?<\/h2>\n

Der taiwanesische Router-Hersteller Zyxel hat ebenfalls eine URL zyxel.box<\/em>, die bei Eingabe im Browser eines Netzwerks auf die Oberfl\u00e4che des Zyxel-Routers umleiten sollte. \u00dcber diese Adresse k\u00f6nnen Ger\u00e4te ggf. auch Dienste des Routers ansprechen.<\/p>\n

Erinnerungsm\u00e4\u00dfig hatte mich ein Leser vor einigen Tagen mal kontaktiert und merkte an, dass die URL zyxel.box<\/em> registriert worden w\u00e4re. Nun hat sich Blog-Leser Constantin L. die Tage per Mail gemeldet (danke) und schrieb: \"es scheint, als ob \u00e4hnliche Probleme wie damals bei fritz.box<\/em> nun auch bei anderen Herstellern auftreten\". Was er damit meint ist, dass die intern von den Ger\u00e4ten verwendeten URLs nun durch einen Dritten, also nicht Zyxel, als \u00f6ffentliche Internet-Adressen registriert wurden.<\/p>\n

\"Entf\u00fchrte<\/p>\n

Der Leser schrieb, dass die Domains sphairon.box<\/em> und zyxel.box<\/em> der Router-Hersteller Sphairon und Zyxel nun auf eine C2-Malicious-IP-Adresse verweisen. Obiger Screenshot zeigt die IP-Adressen dieser Domains.<\/p>\n

Zu Sphairon muss man wissen, dass dies ein Anbieter und Hersteller von Produkten aus dem Bereich Telekommunikation und Netzwerktechnik (unter anderem DSL, ISDN, WLAN, WLL und Internettelefonie) mit Hauptsitz war Bautzen war. Das Unternehmen wurde 2013 durch den taiwanischen Netzwerkausr\u00fcster Zyxel \u00fcbernommen.<\/p><\/blockquote>\n

Der Leser schrieb, dass der Virenscanner im Unternehmen sowie die Network Protection des Microsoft Defender for Endpoint deshalb jedes Mal Alarm schlagen. Laut Leser laufen andere verd\u00e4chtige Domains auf diese IP 91.195.240.12. Nachfolgend eine Screenshot, den mir der Leser zukommen lie\u00df.<\/p>\n

\"Domain<\/a><\/p>\n

Ich habe beim Schreiben des Beitrags noch einen kurzen Test auf virustotal.com versucht. Die URL zyxel.box<\/em> wird aktuell von keinem Virenscanner bem\u00e4ngelt. Verwendet ich dagegen die oben erw\u00e4hnte IP-Adresse 91.195.240.12, die der URL zugewiesen ist, wird die Zielseite in Virustotal als malicious geflaggt.<\/p>\n

\"bad<\/a><\/p>\n

Auch die Seite scanner.pcrisk.com<\/a> meldet die IP-Adresse 91.195.240.12 als \"Malicious, site blacklisted!\" und den Webserver als \"Parking\/1.0\", findet aber keine sch\u00e4dlichen Inhalte.<\/p>\n

Ich habe dann noch versucht, in einer virtuellen Maschine die IP in einem Browser aufl\u00f6sen zu lassen, bekomme dann aber die Meldung, dass der Inhalt nicht angezeigt werden kann. Die obigen URLs werden schon nicht mehr aufgel\u00f6st – und eine whois-Abfrage der obigen IP ergibt, dass da ein ganzer IP-Adressbereich angeblich bei:<\/p>\n

SEDO-NET\r\ndescr:          Sedo Domain Parking\r\ndescr:          Im Mediapark 6b\r\ndescr:          50670 Koeln<\/pre>\n
gef\u00fchrt wird.\u00a0Alles sehr merkw\u00fcrdig. Falls jemand Zyxel-Router im Einsatz hat oder die Sphairon-URL noch verwendet, sollte auf jeden Fall obacht walten lassen.<\/p>\n
\u00c4hnliche Artikel:<\/strong>
\nFRITZ!Box-Problem: Eingabe der URL fritz.box leitet pl\u00f6tzlich auf externe Seite um<\/a>
\nFRITZ!Box-Problem: Gekaperte Domain verursacht Stress<\/a>
\nInfo: Die URL avm.de leitet nun auf fritz.com um<\/a>
\nFritz.box: Domain f\u00e4llt an AVM, Probleme mit Windows Update?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
[English]Ich stelle mal ein Thema hier in den Blog, das mir jetzt von zwei Lesern gemeldet wurde und mich an einen alten Vorfall bei AVM zur fritz.box-URL erinnert. Es sieht so aus, dass die von Routern (Zyxel, Sphairon) zum Zugriff … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[908,426],"tags":[4338,2038,4328,8648],"class_list":["post-315696","post","type-post","status-publish","format-standard","hentry","category-internet","category-sicherheit","tag-internet","tag-router","tag-sicherheit","tag-zyxel-box"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/315696","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=315696"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/315696\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=315696"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=315696"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=315696"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}