Per Fernzugriff: Angreifer versucht aktiv fremde Fritzbox-Router zu kapern

Ein unbekannter Angreifer scheint derzeit das Internet nach unzureichend geschützten Fritzbox-Routern abzuscannen und zu versuchen, sich dort mit verschiedenen Zugangsdaten anzumelden. Auf den Angriff wies zuerst der IT-Experte Günter Born hin, nachdem ein Leser seines IT- und Windows-Blogs ihn darauf aufmerksam gemacht hatte.

Die Zugriffsversuche tauchen demnach im Ereignisprotokoll attackierter Fritzboxen auf. Weitere Leser bestätigten in den Kommentaren von Borns Blogbeitrag inzwischen, ebenfalls entsprechende Protokolleinträge auf ihren Routern vorgefunden zu haben. Die Angriffe scheinen alle von der gleichen IP-Adresse aus (193.46.255.151) zu erfolgen.

Wie den Ereignisprotokollen zu entnehmen ist, werden in unterschiedlichen zeitlichen Abständen Anmeldeversuche mit verschiedenen Nutzernamen getestet. Darunter sind nicht nur häufig vorkommende Standardnutzer wie "admin" und "administrator", sondern auch E-Mail-Adressen und andere individuelle Nutzernamen, die teilweise aus reinen Vornamen oder zusammengesetzten Vor- und Nachnamen bestehen.

Ähnliche Angriffe gab es auch schon früher. Anfang 2021 gab der Fritzbox-Hersteller AVM diesbezüglich aber Entwarnung. Diese sogenannten Credential-Stuffing-Attacken seien normal, sobald ein Router im Internet sichtbar sei. Erfolgreich sind die Anmeldeversuche in der Regel nicht.

Mögliche Schutzmaßnahmen

Wer genau hinter der aktuellen Angriffswelle steckt, ist derzeit noch unklar. Das Angriffsmuster deutet aber darauf hin, dass der Angreifer für die Zugriffsversuche bekannte Nutzername-Passwort-Kombinationen einsetzt – möglicherweise solche aus früheren Datenlecks. Wer für den Fernzugriff auf seine Fritzbox ein Passwort verwendet, das er auch für andere Dienste nutzt, sollte dieses daher zeitnah ändern.

Den besten Schutz vor solchen Angriffen bietet gewiss die vollständige Deaktivierung des Fernzugriffs auf die Benutzeroberfläche der Fritzbox. Für all jene, die auf diese Funktion nicht verzichten können, empfiehlt es sich, für alle Fritzbox-Benutzer, die für den Fernzugriff berechtigt sind, zumindest die Zwei-Faktor-Authentifizierung (2FA) zu aktivieren und dadurch die sicherheitsrelevanten Einstellungen des Routers zu schützen.

Alternativ kann der Zugriff auf die Fritzbox auch über ein VPN erfolgen. Dabei wird zunächst eine gesicherte Verbindung zum internen Netzwerk hergestellt und von dort aus auf das Webinterface des Routers zugegriffen. Der Fernzugriff auf die Fritzbox kann in diesem Fall deaktiviert werden.