Achtung wichtig: Massive Angriffe auf die Fritzboxen mit MyFritz Dienst

Danke für den Hinweis!

Bei mir haben sie es wohl auch schon versucht.

Um mal ein wenig die Angst zu entfernen. Die Angriffe zielen auf einen aktiven Zugang zur Fritzbox von aussen ab. Diese Funktion ist im Standard fall gar nicht aktiviert. Also wenn ihr das so konfiguriert habt keine Gefahr [1].

Falls Ihr wirklich Zugriff auf die Fritzbox aus der Ferne braucht empfehle ich die aktivierte Wireguard VPN Funktion zu nutzen und die interne IP der Fritzbox anzusteuern.

[1] https://i.imgur.com/Rt3eplo.png

Zitat von Boogie2005

Ist übrigens bei mir immer die gleiche IP, von wo das kommt:

193.46.255.151

Einfach mal den Port 443 ändern. Die Situation hält mindestens schon ein halbes Jahr an. Mit der Portänderung hört der Spaß auf.

Beste Grüße

mit der MyFritz app gibt es eine Feature Zugriff von Unterwegs, dieser geschiet über HTTPS auf die FritzBox. Das kann man auch ändern.

Einfach so machen wie SkyBird1980 gesagt hat. Sorry aber wozu braucht man von aussen Zugriff auf das Webif der Fritzbox? Das Ding kann inzwischen Wireguard ab Werk und das sollte man nutzen.

Ausserdem ist es auch nur ein dämlicher Brutforce angriff. Wer ein halbwegs sicheres Passwort hat ist also safe. Wer selbst das nicht hinkriegt der sollte besser aus nicht den Fernzugriff einschalten.

Das Thema wird gerade in den Medien breitgetreten. Dabei sind die Zugriffsversuche an sich unspektakulär.

Es finden praktisch überall im Internet permanent Versuche statt bei denen sich irgendwer bzw. irgendein Bot versucht an allem anzumelden was übers Internet erreichbar ist.

Deshalb sollte auch gut überlegt werden, welche Dienste vom Internet aus erreichbar sein müssen und ob es zwingend erforderlich ist diese direkt aus dem Internet erreichbar zu machen, oder zumindest einen Reverse-Proxy vorzuschalten, oder idealerweise ein VPN ins eigene Heimnetz dafür zu nutzen.

Sollte es doch mal unbedingt notwendig sein einen Dienst vom Internet aus erreichbar zu machen, dann sollte dieser gut abgesichert sein in dem man nach Möglichkeit:

• den Zugang über sichere Zugangsdaten absichert
• nach Möglichkeit 2-Faktor-Authentifizierung verwendet
• nach Möglichkeit keine Standardports verwendet
• Techniken wie Fail-to-Ban einsetzt, die den Zugang automatisch für Angreifer beschränken, wenn erkannt wird dass viele Anmeldeversuche stattfinden
• Sicherstellen dass die Systeme aktuell gehalten werden

Das einzig interessante an der Geschichte hier ist die Frage, warum es offenbar nur Fritzboxen betrifft, woher der Angreifer an die myfritz-Adressen gekommen ist, und woher die verwendeten Kombinationen aus Benutzernamen und Kennwörtern stammen mit denen versucht wird sich anzumelden.

Ich würde fast wetten das man via Shodan die Fritten identizieren kann und dann lässt da jemand einfach nen Credential Stuffing oder Brutforce Angriff drauf laufen. Wenn es immer die gleiche IP ist von der der Angriff ausgeht kann man diese auch zurückverfolgen und beim Hoster ISP zu dem die IP gehört melden.

Für die IP 193.46.255.151 wäre es diese Adresse abuse@unmanaged.uk

Server steht wohl in Cluj Rumänien.

Zitat von Boogie2005

Welcher Port wofür und wo?

TCP, IPv4

Internetzugriff auf die FRITZ!Box (HTTPS)

Einfach mal in der FRITZ!box unter Sicherheit den Test durchlaufen lassen. Wenn der Port (ohne Änderung immer 443) dort aufgeführt ist, dann über „bearbeiten“ den Port im Rahmen der Möglichkeiten ändern. Bei mir gibt es keine negative Auswirkung.

Beste Grüße

Zitat von darkside40

Für die IP 193.46.255.151 wäre es diese Adresse abuse@unmanaged.uk

Server steht wohl in Cluj Rumänien.

Leider absolut mühselig und nicht erfolgversprechend.

VG

Zitat von herbertdererste

Wenn der Port (ohne Änderung immer 443) dort aufgeführt ist, dann über „bearbeiten“ den Port im Rahmen der Möglichkeiten ändern. Bei mir gibt es keine negative Auswirkung.

Negative Auswirkungen könnten sein, dass man von stärker regulierten Netzwerken dann keinen Zugriff mehr auf die Webkonfiguration der Fritzbox hat, weil z.B. in Hotel-WLANs oftmals nur Standardports wie 80 und 443 freigegeben sind.

Die Frage ist eher: Warum muss die Webkonfiguration der Fritzbox unbedingt von außen erreichbar sein, und was spricht gegen Wireguard-VPN?

Auch mit geändertem Port ist es an sich nur eine Frage der Zeit bis jemand versuchen wird sich auch da anzumelden.

Zitat von psychofaktory

Auch mit geändertem Port ist es an sich nur eine Frage der Zeit bis jemand versuchen wird sich auch da anzumelden.

Das ist richtig, doch mit einem „Exoten“ dauert es. Und was Zweifel anbelangt, entweder lassen oder machen.

Zitat von psychofaktory

Die Frage ist eher: Warum muss die Webkonfiguration der Fritzbox unbedingt von außen erreichbar sein, und was spricht gegen Wireguard-VPN?

Es soll User/Admins geben, die Fernwartung betreiben. Nichts spricht für mich gegen Wireguard, ich nutze ihn nicht.

VG

herbertdererste

Wie Darkside schon sagte...

Ändern von Ports bringt recht wenig. Der findige Hacker (oder sollte ich besser Scipt-Kiddie sagen) nutzt einfach Shodan und dann lasse ich mir halt die offenen Ports anzeigen. Also was juckt es mich, wenn du einen random High-Port nimmst, wenn eine scheiß Webseite mir schon die Ports anzeigt. Das weiß heute mittlerweile jeder 12-jährige

Ich sage einfach mal "Danke" an Boogie2005 für den Hinweis. Und bevor hier jetzt Leute ein wenig indirekt an den Pranger gestellt werden (á la "wer es so gemacht hat ist hat selbst schuld"), bitte scheut euch nicht euch zu melden, damit man euch helfen kann.

Zitat von herbertdererste

Das ist richtig, doch mit einem „Exoten“ dauert es. Und was Zweifel anbelangt, entweder lassen oder machen.

Ich denke mir da halt: Warum eine potentielle Lücke offen lassen, wenn man es besser wüsste und vermeiden könnte.

Zitat von herbertdererste

Es soll User/Admins geben, die Fernwartung betreiben. Nichts spricht für mich gegen Wireguard, ich nutze ihn nicht.

Gibt ja genügend Alternativen zu einer von außen erreichbaren Webkonfiguration um Fernwartung zu betreiben.

Zitat von DaVu

Und bevor hier jetzt Leute ein wenig indirekt an den Pranger gestellt werden (á la "wer es so gemacht hat ist hat selbst schuld"), bitte scheut euch nicht euch zu melden, damit man euch helfen kann.

So sehe ich das auch. Durch konstruktives Miteinander können wir uns gegenseitig helfen unsere Systeme sicher zu betreiben.

Was für eine Hysterie .

Beste Grüße

Zitat von Boogie2005

Hi Leute, vielleicht hier auch mal wichtig. Laut https://www.deskmodder.de/blog/2024/03/1…ienst-moeglich/ Deskmodder finden aktuell Angriffe auf die Boxen mit aktivem MyFritz Dienst statt. Bei mir ist das auch schon passiert. Stellt den Dienst vorläufig ab. Einzige Möglichkeit im Moment!!

Es gibt noch weitere Möglichkeiten.

zum Bespiel einfach den Port auf einen deutlich höheren Port ändern, am besten im 50000-60000er Bereich.

Es wird nämlich derzeit nur auf dem Standard Port gescannt.

Zitat von HypsterX

zum Bespiel einfach den Port auf einen deutlich höheren Port ändern

Das wurde oben bereits vorgeschlagen. Hilft aber nicht grundsätzlich gegen einen Angriff. Es ist ja weiterhin eine Lücke da.

Keine Hysterie.

Vielmehr der Versuch von Laien (obwohl ich das beruflich mache...ich bin aber kein Security-Experte, daher bin ich selbst dahingehend ein Laie) für Laien einen vermeintlichen Verbesserungsvorschlag zu durchleuchten und noch besser zu machen. Wie erwähnt, anderer (random) Port hilft nicht und bringt an anderer Stelle Probleme.

Ein Admin-Zugang sollte nicht von "außen" zugänglich sein, wenn ich es vermeiden kann. Bei der Fritzbox ist das ziemlich gut zu vermeiden, wenn man sich mit dem Thema VPN ein wenig auseinander gesetzt hat. Admin Zugänge gehören zur Absicherung hinter ein VPN (sofern möglich). VPNs an Fritzboxen einzurichten (je nach Internetanschluss...ich denke da an ein CGNAT) ist kein Hexenwerk. Bei einem CGNAT wird es natürlich schwieriger....aber dann wird auch der Angriff schwieriger wenn die WAN IP eine geNATete ist ;). Von daher können wir bei den betroffenen CGNAT außen vor lassen, denke ich. Es gibt auf jeden Fall ne Menge guter Videos, die das Einrichten von VPNs auf Fritzboxen veranschaulichen.

Ich finde es ja schon mal gut, dass man sich überhaupt Gedanken macht. Nur sollte man halt auch zugegeben, dass vielleicht die eigenen Gedanken nicht die besten sein können. Ich bin von dem Status "meine Idee ist die geilste" zumindest schon lange weg

Zitat von HypsterX

Es gibt noch weitere Möglichkeiten.

zum Bespiel einfach den Port auf einen deutlich höheren Port ändern, am besten im 50000-60000er Bereich.

Es wird nämlich derzeit nur auf dem Standard Port gescannt.

Einen anderen Port zu verwenden nennt man "Security through obscurity". Siehe: https://de.wikipedia.org/wiki/Security_through_obscurity und das ist nicht immer von Vorteil.

Um das Beispiel mit den Ports zu konkretisieren hier ein Zitat aus dem Wiki:

Zitat

Netzwerkdienste verstecken

Dienste wie die Secure Shell oder MySQL nicht auf ihren standardisierten Ports, sondern auf anderen Ports laufen lassen. Bei einem automatisierten Angriff mit der Frequenz von 50 Millisekunden auf dem Niveau einer Paketumlaufzeit im Internet dauert das Ausprobieren aller 65.535 Ports knapp eine Stunde. Übliche Portscanner wie Nmap unterstützen meist einen parallelen Angriff (Multithreading) auf die einzelnen Ports, dadurch lässt sich der Zeitaufwand ohne weiteres auf unter 5 Minuten verkürzen.

Sind wir uns nun einig, dass ein ändern des Ports keinerlei Verbesserung bringt . Eine potentielle Sicherheitslücke wäre immer noch da und könnte ausgenutzt werden. Wenn man es löst, dann sollte man es richtig lösen