La GUI del modem Zyxel è raggiungibile da Internet?

ideandro

Salve, purtroppo come altri, ho riscontrato anche io che ho il pannello di controllo del router Tiscali ben visibile dall’esterno. Questo è un grosso problema per due motivi:

A quanto pare esiste la possibilità di rintracciare l’account di Supervisor ed entrare tranquillamente senza bisogno di hackerare nulla... no bene!
E' presente nel router in questione un pericoloso BUG che permette l’avvio di comandi remoti!

Vorrei capire se avere la pagina di login esposta è solo un caso di pochi o se invece succede a tutti i possessori dello ZYXEL VMG8825-T50K (il mio ha la versione firmware V5.50(ABRN.0)b6), per cui, per verificare, andate su questa pagina:
https://www.myip.com

Copiate l’indirizzo IP che appare, e dopo aver digitato “http://”, scrivetelo nella barra degli indirizzi del broswser e date enter: se vi appare la pagina di login avete anche voi un grosso problema!

Comunque ho visto che per il BUG esiste una PATCH nel nuovo firmware di dicembre:
V5.50(ABPM.4)C0 in Dec 2020

Considerate che per condividere inconsapevolmente il vostro IP, basta navigare sui siti senza dover fare null’altro, come dimostrato proprio andando su https://www.myip.com, quindi la minaccia non solo è reale, ma è davvero alto il pericolo che qualcuno possa compromettere il router con tutte le implicazioni di sicurezza che questo può comportare, come la perdita delle credenziali di accesso ai siti bancari, per dire...

Magari se fossimo in tanti a richiederla, citando il GDPR, Tiscali si convince ad aggiornare il firmware, facciamo una petizione?

Chi aderisce?

AGGIORNAMENTO
Quando ho scritto questo post, avevo provato giorni prima, come consigliato da qualcuno, a collegarmi da smartphone in 4G, per essere "fuori" dalla mia rete, ed effettivamente, da quanto mi ricordo (visto che mi era preso un colpo) ero riuscito a caricare la pagina di Login. Poi però, in questi giorni, avendo avuto problemi, chiamando il 130, me li hanno risolti e mi sono accorto che mi hanno sostituito il firmware originale con quello beta (b6). Riprovando oggi la stessa trafila di test, ho appurato che effettivamente la pagina di login non è più raggiungibile (bene!), mentre i comandi PING e TRACEROUTE, sono comunque in grado di raggiungere l'indirizzo IP, ma è giusto così, visto che comunque il supporto tecnico deve poter accedere. Resta però il problema del BUG che, da cliente pagante, sinceramente non mi fa essere entusiasta, tanto più che già esiste un nuovo firmware che contiene la PATCH di sicurezza necessaria per eliminarlo. Quindi credo che Tiscali potrebbe fare lo sforzo di adattarlo per aggiornare i dispositivi dei suoi clienti, cosa che dovrebbe essere ovvia e avvenire in automatico, ma che a quanto pare, non è.

edofullo

ideandro Vorrei capire se avere la pagina di login esposta è solo un caso di pochi o se invece succede a tutti i possessori dello ZYXEL VMG8825-T50K (il mio ha la versione firmware V5.50(ABRN.0)b6), per cui, per verificare, andate su questa pagina:

C'è da vedere se l'interfaccia è davvero esposta sulla WAN oppure se il bind del web server è anche sulla wan ma il firewall blocca le connessioni in entrata alla wan verso il router a livello più basso.

Se siamo nel secondo caso non è un grosso problema.

Prova ad accedere a quell'IP dal 4G del cellulare e lo scopri.

Technetium

ideandro
edofullo

Guarda che quel bug non c'entra nulla con quello che descrivi. E' un altro problema.
Tu vedi l'accesso al tuo router perchè si auto risolve in locale l'ip pubblico e sei sempre in lan. Prova un tracert.
Dalle reti esterne non è raggiugibile.

andreagdipaolo

ideandro Considerate che per condividere inconsapevolmente il vostro IP, basta navigare sui siti senza dover fare null’altro, come dimostrato proprio andando su https://www.myip.com, quindi la minaccia non solo è reale, ma è davvero alto il pericolo che qualcuno possa compromettere il router con tutte le implicazioni di sicurezza che questo può comportare, come la perdita delle credenziali di accesso ai siti bancari, per dire...

Stai esagerando, non ci sono rischi concreti di questo livello.
Inoltre è normale che dalla LAN il router risponda anche col proprio IP pubblico.
Da reti esterne non ti fa accedere.

ideandro Però resta il problema del BUG e visto che una PATCH già c'è, forse a Tiscali conviene darsi una mossa o potrebbe rischiare che qualcuno ne rimane vittima e magari si appella al GDPR... no?

Non c'è nessun problema di privacy, stai sereno. Troppo paranoico.

Oltretutto stai citando una CVE che non c'entra niente col finto problema che stai cercando di evidenziare.

stemax97

ideandro i comandi PING e TRACEROUTE, sono comunque in grado di raggiungere l'indirizzo IP, ma è giusto così, visto che comunque il supporto tecnico deve poter accedere

Immagino si possa disabilitare la risposta al comando ping dal firewall del router.

Il problema che hai segnalato richiede di poter accedere all'interfaccia web del router: se attualmente, come è giusto che sia, è accessibile solo da LAN, non è così grave (concordo che sarebbe meglio risolvere sempre questi bug di sicurezza).

Ottieni un ulteriore livello di "protezione" (collaterale, come dice @[cancellato], perché il NAT non è un firewall, non smetteremo mai di dirlo) se il provider offre CG-NAT, ma al prezzo di non poter accedere da remoto alla tua rete (un tuo server VPN) e di non aprire le porte (che per alcune applicazioni è ancora necessario).
Ti condivido un link interessante per testare la sicurezza del router (https://www.grc.com/shieldsup), ma devo fare alcune premesse importanti per evitare false preoccupazioni

il fatto che risponda o meno ai pacchetti ICMP (ping) non è un problema;
non ci sono differenze di sicurezza fra porta stealth e closed (nel primo caso non rispondono proprio, nel secondo caso rispondono dicendo di essere chiuse).
questo genere di test non è assolutamente rischioso, verifica solo l'apertura o meno di alcune porte (che potresti fare manualmente da https://www.yougetsignal.com/tools/open-ports/) e verifica che UPnP lato WAN non sia attivo (in alcune versioni di router molto vecchie era possibile aprire porte da remoto, ovviamente questo problema è stato corretto da parecchi anni).

Se le porte 22 (ssh), 23 (telnet), 80 (http), 443 (https) sono chiuse, il tuo router non è raggiungibile dall'esterno sulle porte standard.

Credo che Tiscali usi TR-069 per le autoconfigurazioni, che se configurato bene da parte dell'ISP (autenticazione a chiavi pubbliche, se non sbaglio) è molto sicuro.

ideandro

edofullo Technetium guardate, mi ricordo che era una prova che avevo già fatto alcuni giorni fa e riuscivo ad accedere anche da 4G, poi però nel frattempo, visto che avevo problemi, ho chiamato il 130 e mi hanno sostituito il firmware, ed effettivamente, riprovando a collegarmi ora, in questo momento, effettivamente dal 4G non riesco più ad accedere... meglio così. Ora aggiorno il post.

Però resta il problema del BUG e visto che una PATCH già c'è, forse a Tiscali conviene darsi una mossa o potrebbe rischiare che qualcuno ne rimane vittima e magari si appella al GDPR... no?

@Technetium perché dici che "quel bug non c'entra nulla" con quello che descrivo?

macro

già segnalato qui:
https://forum.fibra.click/d/13727-security-advisory-per-alcuni-zyxel

Poi con tutti i bug che ha, quella sarebbe l'ultima cosa da sistemare, di quel router.

edofullo

Technetium Tu vedi l'accesso al tuo router perchè si auto risolve in locale l'ip pubblico. Prova un tracert.

Eh appunto lo so.

Se l'interfaccia è esposta sulla WAN e i pacchetti non vengono bloccati dal firewall allora ok, se il problema è solo interno alla LAN il problema è molto ridimensionato.

ideandro

@edofullo @Technetium ho provato ora da 4G:

ACCESSO DA BROWSER: ho provato due browser diversi, eliminando la cache più volte, e la pagina effettivamente va in TIMEOUT

PING: nel registro sicurezza del router sono apparse tre scritte "PING OF DEATH ATTACK" che sono le tre prove che ho fatto... quindi mi sembra di capire che l'indirizzo è raggiungibile, ma viene bloccato

TRACEROUTE: va a buon fine, tanto che appare anche "dynamic-adsl-76-14-216-239.clienti.tiscali.it" quindi anche in questo caso l'indirizzo è raggiungibile...

Che ne pensate?

N.B. andreagdipaolo non si tratta di paranoia: hai letto il rapporto CLUSIT 2020 (tanto per dirne uno)? Lo faccio ogni anno e come ogni anno la situazione degli attacchi peggiora in modo esponenziale... se poi uno si ritrova con un router, che a detta di molti "è pieno di bug" (compreso quello grave che ho segnalato) e di cui non può settare le impostazioni di sicurezza, forse un buon motivo per preoccuparsi ce l'ha... al contrario, dormire sugli allori, in queste situazioni, non mi sembra un atteggiamento intelligente.

Ecco come inizia il rapporto in questione redatto come ogni anno dall'Associazione Italiana per la Sicurezza Informatica:

"Nell’anno appena passato si è consolidata una discontinuità, si è oltrepassato un punto di non ritorno, tale per cui ormai ci troviamo a vivere ed operare in una dimensione differente, in una nuova epoca, in un “altro mondo”, del quale ancora non conosciamo bene la geogra-fia, gli abitanti, le regole e le minacce . Gli attaccanti non sono più “hackers”, e nemmeno gruppetti effimeri (più o meno pericolo-si) di “artigiani” del cybercrime: sono decine e decine di gruppi criminali organizzati trans-nazionali che fatturano miliardi, multinazionali fuori controllo dotate di mezzi illimitati, stati nazionali con i relativi apparati militari e di intelligence, i loro fornitori e contractors, gruppi state-sponsored civili e/o paramilitari ed unità di mercenari impegnati in una lotta senza esclusione di colpi, che hanno come campo di battaglia, arma e bersaglio le infra-strutture, le reti, i server, i client, i device mobili, gli oggetti IoT, le piattaforme social e di instant messaging (e la mente dei loro utenti), su scala globale, 365 giorni all’anno, 24 ore al giorno. Una situazione di inaudita gravità, che mette in discussione ed a repentaglio tutti i presupposti sui quali si basa il buon funzionamento dell’Internet commerciale e di tutti i servizi (online e offline) che su di essa fanno affidamento"

L'intero rapporto CLUSIT 2020 di cui consiglio la lettura, è disponibile qua:
https://clusit.it/rapporto-clusit

andreagdipaolo

ideandro TRACEROUTE: va a buon fine, tanto che appare anche "dynamic-adsl-76-14-216-239.clienti.tiscali.it" quindi anche in questo caso l'indirizzo è raggiungibile...

è giusto così.

ideandro "è pieno di bug"

Sono bug che creano problemi all'uso e non alla sicurezza. Problemi DSL, problemi WiFi.

Secondo me si tratta comunque di paranoia.

Hadx

ideandro quindi mi sembra di capire che l'indirizzo è raggiungibile

Certo che è raggiungibile, è internet.

ideandro

andreagdipaolo Secondo me si tratta comunque di paranoia.

Si vede che in ambito cyber security abbiamo sensibilità diverse, ci sta...

ideandro

andreagdipaolo Sono bug che creano problemi all'uso e non alla sicurezza. Problemi DSL, problemi WiFi.

Possiedo da pochi giorni questo router e non sono bene informato, esiste un elenco di questi BUG, così, giusto per sapere di cosa si sta parlando?

ideandro

Hadx intendevo dire un dato di fatto, nel senso che "è appurato, da smartphone riesco a raggiungere l'indirizzo", tutto qua... si capisce meglio così?

E' ovvio che DEVE ESSERE RAGGIUNGIBILE, altrimenti il supporto tecnico come accede?

[cancellato]

ideandro Non solo... Come potrebbero arrivare i pacchetti di risposta delle connessioni? Come potrebbero raggiungerti per il gioco ad esempio in cui si chiede di "aprire le porte" per permettere le connessioni in ingresso?

Internet sostanzialmente era nato per avere dispositivi univocamente indirizzati e tutti raggiungibili (a meno di protezioni firewall ovviamente); sì è rotto il giocattolo con il NAT che maschera una moltitudine di dispositivi dietro un unico indirizzo, rompendo la connettività end2end ma soprattutto creando un falso senso di sicurezza negli utenti.

ideandro il rapporto clusit (che non credo sia pubblicamente diffondibile però) va "pesato" per il pubblico cui è rivolto, tipicamente manageriale, che deve assumere decisioni di business pesando i rischi.

andreagdipaolo

ideandro esiste un elenco di questi BUG

No, ma se sei colpito da uno di quelli fidati che te ne accorgi 😅

ideandro

[cancellato] il rapporto clusit (che non credo sia pubblicamente diffondibile però) va "pesato" per il pubblico cui è rivolto, tipicamente manageriale, che deve assumere decisioni di business pesando i rischi.

Ho modificato il link alla pagina per scaricarlo, attraverso il form ufficiale. Comunque sarà pure un rapporto rivolto alle aziende, ma una lettura, soprattutto nella parte iniziale, farà molto bene pure alle persone comuni di cui è importante accrescere la consapevolezza su questi temi, visto che c'è molta ignoranza sui meccanismi in gioco, quando si tratta di sicurezza online.

ideandro

andreagdipaolo allora speriamo di no!!! 😂

andreagdipaolo

stemax97 Immagino si possa disabilitare la risposta al comando ping dal firewall del router.

Io siccome lo uso per diagnostica non sopporto quando i clienti toccano il router e disabilitano i pacchetti ICMP.

Comunque di default è così

stemax97 Se le porte 22 (ssh), 23 (telnet), 80 (http), 443 (https) sono chiuse, il tuo router non è raggiungibile dall'esterno sulle porte standard.

Sugli IP dinamici ci sono questi blocchi:

Traffico bloccato verso le seguenti porte lato utente:
Protocollo tcp: 23, 25, 135, 137, 138, 139, 445, 2525
Protocollo udp: 137, 138, 139, 161, 162, 445
Traffico bloccato dagli utenti verso le seguenti porte:
Protocollo udp: 137
Protocollo tcp: 135

Oltre alla 53 per alcuni IP.
Il router droppa comunque la GUI da WAN.

stemax97 Credo che Tiscali usi TR-069 per le autoconfigurazioni, che se configurato bene da parte dell'ISP (autenticazione a chiavi pubbliche, se non sbaglio) è molto sicuro.

ideandro

stemax97 Ti condivido un link interessante per testare la sicurezza del router (https://www.grc.com/shieldsup)

Ecco il risultato:

Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile