Achtung wichtig: Massive Angriffe auf die Fritzboxen mit MyFritz Dienst

  • Hi Leute, vielleicht hier auch mal wichtig. Laut https://www.deskmodder.de/blog/2024/03/1…ienst-moeglich/ Deskmodder finden aktuell Angriffe auf die Boxen mit aktivem MyFritz Dienst statt. Bei mir ist das auch schon passiert. Stellt den Dienst vorläufig ab. Einzige Möglichkeit im Moment!!

    Spoiler anzeigen

    Client: Nvidia Shield 2019 Pro Kodi 20.1, AVR Sony STR-DN 1080, Nubert NuBox Series 5.1, LG TV 55SM8600 Nanocell
    Musik über Pi4 mit Picore 8 und LMS am AVR.
    Gästezimmer:Shield TV 2017 Kodi 20.1
    Server: unRaid; Fractal Des. Define 7;Asrock B365M PROF-4, Intel i3-8100, 16GB RAM und 20TB Platten,
    Arbeitstier: DeepSilence 4, AX370M, AMD Ryzen 5 2600X; 8GB RAM, Samsung M2 970EVO 500GB, RX560 Grafik

  • Ist übrigens bei mir immer die gleiche IP, von wo das kommt:


    193.46.255.151


    Spoiler anzeigen

    Client: Nvidia Shield 2019 Pro Kodi 20.1, AVR Sony STR-DN 1080, Nubert NuBox Series 5.1, LG TV 55SM8600 Nanocell
    Musik über Pi4 mit Picore 8 und LMS am AVR.
    Gästezimmer:Shield TV 2017 Kodi 20.1
    Server: unRaid; Fractal Des. Define 7;Asrock B365M PROF-4, Intel i3-8100, 16GB RAM und 20TB Platten,
    Arbeitstier: DeepSilence 4, AX370M, AMD Ryzen 5 2600X; 8GB RAM, Samsung M2 970EVO 500GB, RX560 Grafik

  • Danke für den Hinweis!

    Bei mir haben sie es wohl auch schon versucht.

    TVServer: origenAE (S16V) als DVBViewer MediaServer
    SAT>IP Hardware: 3x Digibit Twin
    Clienten: 1x DuneHD, 2x KII Pro DVB-S2 (S905) (CE 9.2.8), 1x FireTV Stick 4K MAX, 1x OctagonSF8008 E2 Receiver (openATV)

  • Um mal ein wenig die Angst zu entfernen. Die Angriffe zielen auf einen aktiven Zugang zur Fritzbox von aussen ab. Diese Funktion ist im Standard fall gar nicht aktiviert. Also wenn ihr das so konfiguriert habt keine Gefahr [1].

    Falls Ihr wirklich Zugriff auf die Fritzbox aus der Ferne braucht empfehle ich die aktivierte Wireguard VPN Funktion zu nutzen und die interne IP der Fritzbox anzusteuern.

    [1] https://i.imgur.com/Rt3eplo.png

    --------------
    Guides nicht mehr verfügbar wegen Youtube unvermögen guten von schlechten Kodi Videos zu unterscheiden.

  • Welcher Port wofür und wo?

    Spoiler anzeigen

    Client: Nvidia Shield 2019 Pro Kodi 20.1, AVR Sony STR-DN 1080, Nubert NuBox Series 5.1, LG TV 55SM8600 Nanocell
    Musik über Pi4 mit Picore 8 und LMS am AVR.
    Gästezimmer:Shield TV 2017 Kodi 20.1
    Server: unRaid; Fractal Des. Define 7;Asrock B365M PROF-4, Intel i3-8100, 16GB RAM und 20TB Platten,
    Arbeitstier: DeepSilence 4, AX370M, AMD Ryzen 5 2600X; 8GB RAM, Samsung M2 970EVO 500GB, RX560 Grafik

  • mit der MyFritz app gibt es eine Feature Zugriff von Unterwegs, dieser geschiet über HTTPS auf die FritzBox. Das kann man auch ändern.

    das Einzige was am Ende zählt ist
    dass ihr lebt was ihr liebt und liebt wofür ihr lebt


    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96
    OMV NAS - NAS | Emby Server | LogitechMediaServer
    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer
    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security
    Loxone SmartHome

  • Einfach so machen wie SkyBird1980 gesagt hat. Sorry aber wozu braucht man von aussen Zugriff auf das Webif der Fritzbox? Das Ding kann inzwischen Wireguard ab Werk und das sollte man nutzen.

    Ausserdem ist es auch nur ein dämlicher Brutforce angriff. Wer ein halbwegs sicheres Passwort hat ist also safe. Wer selbst das nicht hinkriegt der sollte besser aus nicht den Fernzugriff einschalten.

  • Das Thema wird gerade in den Medien breitgetreten. Dabei sind die Zugriffsversuche an sich unspektakulär.

    Es finden praktisch überall im Internet permanent Versuche statt bei denen sich irgendwer bzw. irgendein Bot versucht an allem anzumelden was übers Internet erreichbar ist.

    Deshalb sollte auch gut überlegt werden, welche Dienste vom Internet aus erreichbar sein müssen und ob es zwingend erforderlich ist diese direkt aus dem Internet erreichbar zu machen, oder zumindest einen Reverse-Proxy vorzuschalten, oder idealerweise ein VPN ins eigene Heimnetz dafür zu nutzen.


    Sollte es doch mal unbedingt notwendig sein einen Dienst vom Internet aus erreichbar zu machen, dann sollte dieser gut abgesichert sein in dem man nach Möglichkeit:

    • den Zugang über sichere Zugangsdaten absichert
    • nach Möglichkeit 2-Faktor-Authentifizierung verwendet
    • nach Möglichkeit keine Standardports verwendet
    • Techniken wie Fail-to-Ban einsetzt, die den Zugang automatisch für Angreifer beschränken, wenn erkannt wird dass viele Anmeldeversuche stattfinden
    • Sicherstellen dass die Systeme aktuell gehalten werden


    Das einzig interessante an der Geschichte hier ist die Frage, warum es offenbar nur Fritzboxen betrifft, woher der Angreifer an die myfritz-Adressen gekommen ist, und woher die verwendeten Kombinationen aus Benutzernamen und Kennwörtern stammen mit denen versucht wird sich anzumelden.

  • Ich würde fast wetten das man via Shodan die Fritten identizieren kann und dann lässt da jemand einfach nen Credential Stuffing oder Brutforce Angriff drauf laufen. Wenn es immer die gleiche IP ist von der der Angriff ausgeht kann man diese auch zurückverfolgen und beim Hoster ISP zu dem die IP gehört melden.


    Für die IP 193.46.255.151 wäre es diese Adresse abuse@unmanaged.uk

    Server steht wohl in Cluj Rumänien.

  • Welcher Port wofür und wo?

    TCP, IPv4

    Internetzugriff auf die FRITZ!Box (HTTPS)

    Einfach mal in der FRITZ!box unter Sicherheit den Test durchlaufen lassen. Wenn der Port (ohne Änderung immer 443) dort aufgeführt ist, dann über „bearbeiten“ den Port im Rahmen der Möglichkeiten ändern. Bei mir gibt es keine negative Auswirkung.


    Beste Grüße

  • Wenn der Port (ohne Änderung immer 443) dort aufgeführt ist, dann über „bearbeiten“ den Port im Rahmen der Möglichkeiten ändern. Bei mir gibt es keine negative Auswirkung.

    Negative Auswirkungen könnten sein, dass man von stärker regulierten Netzwerken dann keinen Zugriff mehr auf die Webkonfiguration der Fritzbox hat, weil z.B. in Hotel-WLANs oftmals nur Standardports wie 80 und 443 freigegeben sind.

    Die Frage ist eher: Warum muss die Webkonfiguration der Fritzbox unbedingt von außen erreichbar sein, und was spricht gegen Wireguard-VPN?

    Auch mit geändertem Port ist es an sich nur eine Frage der Zeit bis jemand versuchen wird sich auch da anzumelden.

  • Auch mit geändertem Port ist es an sich nur eine Frage der Zeit bis jemand versuchen wird sich auch da anzumelden.

    Das ist richtig, doch mit einem „Exoten“ dauert es. Und was Zweifel anbelangt, entweder lassen oder machen.

    Die Frage ist eher: Warum muss die Webkonfiguration der Fritzbox unbedingt von außen erreichbar sein, und was spricht gegen Wireguard-VPN?

    Es soll User/Admins geben, die Fernwartung betreiben. Nichts spricht für mich gegen Wireguard, ich nutze ihn nicht.


    VG

  • herbertdererste

    Wie Darkside schon sagte...

    Ändern von Ports bringt recht wenig. Der findige Hacker (oder sollte ich besser Scipt-Kiddie sagen) nutzt einfach Shodan und dann lasse ich mir halt die offenen Ports anzeigen. Also was juckt es mich, wenn du einen random High-Port nimmst, wenn eine scheiß Webseite mir schon die Ports anzeigt. Das weiß heute mittlerweile jeder 12-jährige ;)

    Ich sage einfach mal "Danke" an Boogie2005 für den Hinweis. Und bevor hier jetzt Leute ein wenig indirekt an den Pranger gestellt werden (á la "wer es so gemacht hat ist hat selbst schuld"), bitte scheut euch nicht euch zu melden, damit man euch helfen kann.

  • Das ist richtig, doch mit einem „Exoten“ dauert es. Und was Zweifel anbelangt, entweder lassen oder machen.

    Ich denke mir da halt: Warum eine potentielle Lücke offen lassen, wenn man es besser wüsste und vermeiden könnte.

    Es soll User/Admins geben, die Fernwartung betreiben. Nichts spricht für mich gegen Wireguard, ich nutze ihn nicht.

    Gibt ja genügend Alternativen zu einer von außen erreichbaren Webkonfiguration um Fernwartung zu betreiben.


    Und bevor hier jetzt Leute ein wenig indirekt an den Pranger gestellt werden (á la "wer es so gemacht hat ist hat selbst schuld"), bitte scheut euch nicht euch zu melden, damit man euch helfen kann.

    So sehe ich das auch. Durch konstruktives Miteinander können wir uns gegenseitig helfen unsere Systeme sicher zu betreiben.

  • Hi Leute, vielleicht hier auch mal wichtig. Laut https://www.deskmodder.de/blog/2024/03/1…ienst-moeglich/ Deskmodder finden aktuell Angriffe auf die Boxen mit aktivem MyFritz Dienst statt. Bei mir ist das auch schon passiert. Stellt den Dienst vorläufig ab. Einzige Möglichkeit im Moment!!


    Es gibt noch weitere Möglichkeiten.


    zum Bespiel einfach den Port auf einen deutlich höheren Port ändern, am besten im 50000-60000er Bereich.

    Es wird nämlich derzeit nur auf dem Standard Port gescannt.

  • zum Bespiel einfach den Port auf einen deutlich höheren Port ändern

    Das wurde oben bereits vorgeschlagen. Hilft aber nicht grundsätzlich gegen einen Angriff. Es ist ja weiterhin eine Lücke da.

    --------------
    Guides nicht mehr verfügbar wegen Youtube unvermögen guten von schlechten Kodi Videos zu unterscheiden.

  • Keine Hysterie.

    Vielmehr der Versuch von Laien (obwohl ich das beruflich mache...ich bin aber kein Security-Experte, daher bin ich selbst dahingehend ein Laie) für Laien einen vermeintlichen Verbesserungsvorschlag zu durchleuchten und noch besser zu machen. Wie erwähnt, anderer (random) Port hilft nicht und bringt an anderer Stelle Probleme.

    Ein Admin-Zugang sollte nicht von "außen" zugänglich sein, wenn ich es vermeiden kann. Bei der Fritzbox ist das ziemlich gut zu vermeiden, wenn man sich mit dem Thema VPN ein wenig auseinander gesetzt hat. Admin Zugänge gehören zur Absicherung hinter ein VPN (sofern möglich). VPNs an Fritzboxen einzurichten (je nach Internetanschluss...ich denke da an ein CGNAT) ist kein Hexenwerk. Bei einem CGNAT wird es natürlich schwieriger....aber dann wird auch der Angriff schwieriger wenn die WAN IP eine geNATete ist ;). Von daher können wir bei den betroffenen CGNAT außen vor lassen, denke ich. Es gibt auf jeden Fall ne Menge guter Videos, die das Einrichten von VPNs auf Fritzboxen veranschaulichen.

    Ich finde es ja schon mal gut, dass man sich überhaupt Gedanken macht. Nur sollte man halt auch zugegeben, dass vielleicht die eigenen Gedanken nicht die besten sein können. Ich bin von dem Status "meine Idee ist die geilste" zumindest schon lange weg ;)


    Es gibt noch weitere Möglichkeiten.


    zum Bespiel einfach den Port auf einen deutlich höheren Port ändern, am besten im 50000-60000er Bereich.

    Es wird nämlich derzeit nur auf dem Standard Port gescannt.

    Einen anderen Port zu verwenden nennt man "Security through obscurity". Siehe: https://de.wikipedia.org/wiki/Security_through_obscurity und das ist nicht immer von Vorteil.

    Um das Beispiel mit den Ports zu konkretisieren hier ein Zitat aus dem Wiki:

    Zitat

    Netzwerkdienste verstecken

    Dienste wie die Secure Shell oder MySQL nicht auf ihren standardisierten Ports, sondern auf anderen Ports laufen lassen. Bei einem automatisierten Angriff mit der Frequenz von 50 Millisekunden auf dem Niveau einer Paketumlaufzeit im Internet dauert das Ausprobieren aller 65.535 Ports knapp eine Stunde. Übliche Portscanner wie Nmap unterstützen meist einen parallelen Angriff (Multithreading) auf die einzelnen Ports, dadurch lässt sich der Zeitaufwand ohne weiteres auf unter 5 Minuten verkürzen.

    Sind wir uns nun einig, dass ein ändern des Ports keinerlei Verbesserung bringt ;) . Eine potentielle Sicherheitslücke wäre immer noch da und könnte ausgenutzt werden. Wenn man es löst, dann sollte man es richtig lösen ;)

    Einmal editiert, zuletzt von SkyBird1980 (14. März 2024 um 09:14) aus folgendem Grund: Ein Beitrag von DaVu mit diesem Beitrag zusammengefügt.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!