Selbstverständlich nicht ... es gab eine Anmeldung von der IP-Adresse 192.168.188.30 an der besagten Box. Nur die Frage, wie der-/diejenige, der/die sich da anmeldete, an die verwendete Session-ID gelangte, läßt sich "forensisch" nicht immer klären, wenn zuviel Zeit seitdem vergangen ist, denn viele Daten werden nur in Ringpuffern gespeichert und durch neuere Daten dann überschrieben.
Vermutet man - wie hier - einen unberechtigten Zugriff, sollte man als Allererstes immer die Support-Daten der Box extrahieren ... darin sind schon viele Infos zu finden. Zum Beispiel die, wann die Mail genau verschickt wurde (backendmails) oder wann da welche Anmeldungen versucht wurden (sson).
Ich wollte nur darauf hinweisen, daß der "Auswahlprozess" für das Konto, das beim Erstellen dieser "Kennwort vergessen"-Mail freigeschaltet wird, nicht so 100% klar ist bzw. daß dazu auch in der Online-Hilfe bzw. der Knowledge-Base von AVM m.W. nichts zu finden ist:
https://avm.de/service/fritzbox/fri...e-Benutzeroberflache-der-FRITZ-Box-vergessen/
Eines ist ja schon mal klar ... der ausgewählte Account muß/sollte administrative Rechte haben, damit er Einstellungen der Box auch ändern kann. Zwar wäre es theoretisch auch denkbar, daß man den Aufrufer das Benutzerkonto noch "vorgeben" läßt (immerhin stehen die bekannten Konten ja ohnehin in der Select-Box), aber wenn man sich den Request ansieht, der zum Generieren der E-Mail führt, merkt man auch schnell, daß da keine weiteren Parameter übergeben werden. Auch beim Einstellen der Funktion dieser Push-Nachricht läßt sich das Konto nicht auswählen. Es ist auch nicht die Reihenfolge, in der diese Konten in der "ar7.cfg" aufgeführt sind und auch nicht die Reihenfolge der Indizes in der "boxusers"-Auflistung des "ctlmgr".
Mir ist es bisher noch nicht gelungen, da ein System zu entdecken ... das einzige, zur "Authentifizierung" hier verwendete Merkmal ist die IP-Adresse, von der dieser Request ausgeht - mit dieser wird auch die automatisch generierte Session-ID verknüpft.
Nur ist das alles spätestens dann Makulatur, wenn sich im LAN noch ein kaskadierter Router mit NAT befindet ... JEDER Client, der sich hinter einem solchen Router befindet, verwendet dieselbe IP-Adresse beim Zugriff auf die (vorgeschaltete) FRITZ!Box.
Da das Generieren der Mail auch nicht weiter abgesichert ist (m.W. funktioniert das auch bei einem per WLAN verbundenen Client und auch bei eingeschalteter 2FA ohne eine solche Abfrage), braucht man halt nur den Zugriff auf das verwendete Postfach (hier verwendet AVM ja die Absenderadresse der Status-Mails als Empfänger der E-Mail) und die Chance, einen passenden Request an die Box zu senden:
Rich (BBCode):
vidar:/tmp $ curl --http1.0 --data 'xhr=1' --data 'pushmail=1' --data 'no_sidrenew=' --verbose http://192.168.178.1:80/index.lua
* Trying 192.168.178.1:80...
* TCP_NODELAY set
* Connected to 192.168.178.1 (192.168.178.1) port 80 (#0)
> POST /index.lua HTTP/1.0
> Host: 192.168.178.1
> User-Agent: curl/7.67.0
> Accept: */*
> Content-Length: 29
> Content-Type: application/x-www-form-urlencoded
>
* upload completely sent off: 29 out of 29 bytes
* Mark bundle as not supporting multiuse
* HTTP 1.0, assume close after body
< HTTP/1.0 200 OK
< Cache-Control: no-cache
< Connection: close
< Content-Type: application/json; charset=utf-8
< Date: Mon, 24 Feb 2020 21:57:01 GMT
< Expires: -1
< Pragma: no-cache
< X-Frame-Options: SAMEORIGIN
< X-XSS-Protection: 1; mode=block
< X-Content-Type-Options: nosniff
<
* Closing connection 0
{"code":0}
vidar:/tmp $
... den aber zumindest von der LAN-Seite. Danach kann man die E-Mail mit der generierten Session-ID aus dem Postfach auslesen und sich mit dieser Session-ID in der Box vergnügen ... diese Session ist nicht darauf limitiert, ein neues Kennwort zu setzen und eine solche Aktion wird auch nicht wirklich erzwungen (die Weiterleitung per URL auf die Benutzer-Seite ist mehr ein "Vorschlag"). Damit fällt auch die Option weg, daß JEDER Benutzer es bemerkt, daß an seinem Konto "manipuliert" wurde ... selbst im Event-Log sieht ein solches "Kennwort vergessen"-Login wie jede andere, normale Anmeldung aus.
BTW/EDIT:
Mit der Funktion, diese "Kennwort vergessen"-Mail jetzt auch über das MyFRITZ!-Konto zuzustellen (per Aufruf über "webservice.myfritz.net"), verdoppelt AVM natürlich auch die Angriffsfläche auf E-Mail-Konten - es werden dann halt zwei E-Mails mit der generierten Session-ID verschickt und nicht immer muß ja zwingend das verwendete (E-Mail-)Konto für den MyFRITZ!-Account und das "Absender-Konto" der FRITZ!Box identisch sein.
Ja, es ist sogar nicht immer gesagt, daß die Personen mit Zugriffsberechtigung auf diese E-Mail-Konten dieselben sind und auch AVM erhält auf diesem Weg natürlich Kenntnis von der generierten Session-ID. Ich habe auch keine Einstellung gefunden, bei aktiviertem MyFRITZ!-Account und aktivierter "Kennwort vergessen"-Funktion den Versand über den AVM-Service zu blockieren ... da bleibt einem nur, komplett auf MyFRITZ! zu verzichten oder damit zu leben, daß wieder jeder mit Zugriff auf das MyFRITZ!-Konto und das LAN problemlos zu einem administrativen Zugang zur FRITZ!Box kommen kann.
Oder eben gleich die komplette "Kennwort vergessen"-Funktion konsequent abschalten (so mache ich es schon länger) ... sollte man tatsächlich mal das Kennwort vergessen haben, gibt es noch andere Wege:
FRITZ!Box-Kennwort vergessen ... was nun? (Mail-)Recovery a la AVM oder besser nicht?