FRITZ!BOX-routers worden momenteel blootgesteld aan een enorme golf van aanvallen die erop gericht zijn de apparaten over te nemen. De aanvallen zijn afkomstig van het ip-adres 185.232.52.55, dat opvallend vaak gebruikt is - zo meldt het Duitse Heise.de.
Talloze gebruikers melden 'verontrustende' activiteiten in het event log van hun FRITZ!BOXen. Verschillende inlogpogingen op de FRITZ!BOX gebruikersinterface bewijzen dat iemand nadrukkelijk probeert controle te krijgen over de router. De opeenstapeling van meldingen van gebruikers wijst erop dat het om een grootschalige aanval gaat en dat de daders al gedurende langere tijd grote ip-adresreeksen hebben aangevallen.
Doelwitten worden willekeurig uitgekozen. Logaantekeningen tonen aan dat talrijke e-mailadressen willekeurig als gebruikersnamen worden geprobeerd. Heise geeft aan dat de mailadressen voornamelijk afkomstig zijn van gebruikers in Duitsland, zoals te zien is aan de .de domeinextensie. FRITZ!BOX gebruikers wiens routerinterface toegankelijk is via het internet zijn getroffen. Dit is het geval als de optie 'internettoegang tot FRITZ!Box via HTTPS ingeschakeld' is geactiveerd in de FRITZ!BOX-instellingen (http://fritz.box) onder 'Internet/Shares/FRITZ!Box Services'. Vaak is toegang op afstand actief in combinatie met de AVM-dienst MyFRITZ!.
Wie er achter de golf van aanvallen zit is momenteel nog onduidelijk. De eerste meldingen dateren al van de zomer van 2020, wat suggereert dat de aanvallen al maanden aan de gang zijn. In de directory voor ip-misbruik AbuseIPDB staan nu bijna 300 klachten over het IP, meestal over pogingen om toegang te krijgen tot FRITZ!BOXen.
Beveiligde FRITZ!BOX
Om beschermd te zijn tegen dergelijke aanvallen moet de FRITZ!BOX zo veilig mogelijk geconfigureerd worden. Belangrijk is de installatie van de meest recente firmware. Onder 'System/Update' kan er een update worden gestart als de router nog niet is voorzien van de nieuwste firmware. Op de 'Auto Update'-subpagina is het zaak tenminste 'Level II' in te stellen zodat beveiligingsupdates automatisch worden geïnstalleerd.
De routerinterface geeft een overzicht van de diensten die vanaf het internet toegankelijk zijn via de veiligheidscontrole, die je kunt openen via 'Diagnose/Beveiliging'. Onder 'FRITZ!Box Services' somt de AVM-router alle diensten op die voor toegang van buitenaf zijn vrijgegeven. Daarbij is het handig om de 'Port shares on home network devices' te controleren, aangezien andere apparaten in het netwerk die van buitenaf kunnen worden benaderd ook problemen kunnen opleveren. In het beste geval zijn geen diensten rechtstreeks toegankelijk via het internet, aangezien elke dienst een potentieel veiligheidsrisico vormt.
Verder is het belangrijk een zo lang mogelijk wachtwoord te kiezen voor toegang tot de router, in combinatie met een individuele gebruikersnaam, en de FRITZ!BOX toegankelijk te maken via een alternatieve poort. Als de HTTPS standaardpoort 443 is ingesteld, dan is de webinterface zeer gemakkelijk te vinden voor aanvallers. Een andere poort kan pogingen tot ongeoorloofde toegang niet voorkomen, maar het kan ze op zijn minst moeilijker maken.
Ook de beveiligingsfuncties onder 'Extra bevestiging' zijn nuttig: De optie 'Uitvoering van bepaalde instellingen en functies extra bevestigen' betekent dat kritieke wijzigingen aan de routerinstellingen speciaal moeten worden bevestigd, bijvoorbeeld door een toets op de FRITZ!BOX in te drukken of een toetscombinatie in te toetsen op een telefoon die op de FRITZ!BOX is aangesloten.
Verdachte gebeurtenissen opsporen
Onder 'Systeem/Gebeurtenissen' kunnen opvallende inlogpogingen worden gecontroleerd. Kies voor 'alle' om alle soort gebeurtenissen weer te geven. Zo kan er ook achter worden gekomen of iemand met een verkeerd wachtwoord heeft geprobeerd in te loggen.
Update 1-3-2021 17:45
Statement AVM
Momenteel zijn er veel meldingen over pogingen om toegang te krijgen tot FRITZ!Box-producten. Deze pogingen zijn mislukte pogingen om in te loggen, blijkbaar door het raden van wachtwoorden, ook bekend als "credential stuffing"-aanvallen. Dergelijke aanvallen zijn voortdurend gericht op talloze apparaten die met het internet zijn verbonden.
Klik hier voor het artikel in de kennisbank van AVM.
Als algemene regel raden wij aan onze instructies voor veilige wachtwoorden op te volgen, die de gebruiker ontvangt op de FRITZ!Box gebruikersinterface.
Bron: Heise.de
