Per Fernzugriff: Fehlgeschlagene Login-Versuche auf Fritzboxen häufen sich

Im Netz häufen sich derzeit Meldungen über große Mengen fehlgeschlagener Anmeldeversuche auf Fritzbox-Routern. Ein unbekannter Angreifer scheint zu versuchen, anhand einer Liste bekannter Zugangsdaten die Kontrolle über die Geräte zu übernehmen. Allzu große Sorgen müssen sich Nutzer aber in der Regel nicht machen.

Anmeldeversuche auf Fritzboxen häufen sich

Zuerst auf den Angriff aufmerksam gemacht hatte der IT-Blogger Günter Born. Durch eine Leserzuschrift wurde Born auf entsprechende Auffälligkeiten in den Ereignisprotokollen betroffener Fritzboxen hingewiesen. Der Leser ließ ihm einen Screenshot zukommen, in dem die fehlgeschlagenen Anmeldeversuche zu erkennen sind. Auch andere Leser von Borns Blog haben in den Kommentaren zu dem Beitrag inzwischen bestätigt, derartige Protokolleinträge auf ihren Routern vorgefunden zu haben. Betroffen sind nur solche Fritzboxen, für die der Fernzugriff auf die Benutzeroberfläche aktiviert ist.

Bei dem Angriff kommt offenkundig eine Vielzahl verschiedener Nutzernamen zum Einsatz. In den Protokollen sind etwa Standardnutzer wie „admin“ oder „administrator“ zu sehen, aber ebenso individuelle E-Mail-Adressen und aus Echtnamen zusammengesetzte Benutzernamen. Die getesteten Passwörter sind zwar nicht ersichtlich, dass sich diese ebenfalls je Anmeldeversuch unterscheiden, ist aber anzunehmen. Der Angreifer scheint bisher ausschließlich von der IP-Adresse 193.46.255.151 aus zu operieren. Wer genau dahinter steckt, ist aber noch unklar.

Schutz durch sichere Passwörter

Angriffe dieser Art sind gewiss keine Seltenheit. Schon vor rund drei Jahren gab es entsprechende Medienberichte. AVM hatte am 1. März 2021 in einem Sicherheitshinweis erklärt, dass es sich um „erfolglose Anmeldeversuche, also Rateversuche“ handelt. Dieses sogenannte Credential Stuffing ist auf Geräten, die vom Internet aus erreichbar sind, nicht ungewöhnlich. AVM hatte Anwendern damals empfohlen, die Hinweise für sichere Kennwörter, die in der Benutzeroberfläche der Fritzbox angezeigt werden, zu beachten.

Beim Credential Stuffing nutzen Angreifer in der Regel Anmeldeinformationen, die aus früheren Datenlecks bekannt sind, um sich damit an bestehenden Systemen anzumelden. Wer den Fernzugriff auf seine Fritzbox durch ein sicheres Passwort geschützt hat, das er obendrein für kein anderes System verwendet, hat also in der Regel nichts zu befürchten. Die Anmeldeversuche dürften unter diesen Umständen erfolglos bleiben.

Ein Leitfaden für die Erstellung sicherer Passwörter ist auch auf der Webseite des BSI zu finden.

Weitere mögliche Schutzmaßnahmen

Für all jene, die ihre Fritzbox zusätzlich vor derartigen Angriffen schützen möchten, bietet es sich an, den Fernzugriff auf die Benutzeroberfläche des Routers vollständig zu deaktivieren. Wer zwingend aus der Ferne auf seine Fritzbox zugreifen können muss, kann als Alternative auf eine gesicherte VPN-Verbindung ausweichen und sich darüber aus dem internen Netz heraus am Webinterface anmelden. Obendrein bietet AVM seit einiger Zeit die Möglichkeit, sensible Einstellungen und Funktionen der Fritzbox durch eine Zwei-Faktor-Authentifizierung (2FA) zusätzlich abzusichern. Details zur Einrichtung hat der Hersteller in seiner Wissensdatenbank dokumentiert.

FritzOS bietet zwar auch die Möglichkeit, den von bestimmten IP-Adressen ausgehenden Datenverkehr zu sperren, jedoch schafft eine solche Konfiguration nur bedingt Abhilfe. Sobald der Angreifer seine IP-Adresse ändert, ist eine solche Blockade wieder hinfällig. Einen dauerhaften Schutz vor Credential Stuffing stellt diese Option daher nicht dar.