• Apparati e reti
  • Qualcosa sta compromettendo il funzionamento di alcuni router AVM Fritz!Box 7590

Leggendo su gruppi di settore sembrerebbe esserci una grave vulnerabilità che riguarda il modem/router FritzBox 7590, anche se al momento non possiamo escludere con certezza che altri modelli ne siano afflitti.
La presunta vulnerabilità permetterebbe di modificare la configurazione del dispositivo probabilmente attraverso l'esposizione di porte su internet.

Il principale sospetto, che rientra nelle caratteristiche comuni alle vittime diramate da AVM stessa, sarebbe l'esposizione della porta 443 per l'accesso remoto al router.
Secondo altre fonti basterebbe anche un port forwarding, mentre per altre testimonianze sarebbero stati colpiti anche apparati con porta 443 chiusa, che usavano quindi altre porte per le suddette funzionalità.

La causa degli eventi non è stata ancora confermata o ufficializzata.

L'attacco

Da quello che sappiamo, i clienti di diversi operatori (anche non italiani) stanno subendo quelli che sembrerebbero essere attacchi che sfrutterebbero proprio questa presunta vulnerabilità. Gli effetti sono i seguenti:

  • Cancellazione delle credenziali PPP impedendo all'utente di connettersi a Internet
  • Modifica o cancellazione delle credenziali di amministrazione impedendo all'utente di entrare nel router

La soluzione per ripristinare il funzionamento è quella di un reset del dispositivo per recuperare l'accesso al pannello di controllo e una riconfigurazione dei parametri PPPoE per la connessione a Internet.
Non sono al momento noti effetti a lungo termine.

Prevenzione

In attesa di un aggiornamento del firmware da parte di AVM, il consiglio per tentare di evitare di essere colpiti (senza garanzie di efficacia) è controllare se la porta 443 lato WAN è aperta e, se aperta, chiuderla (seguendo queste istruzioni).
Secondo altre fonti, come precedentemente indicato, sarebbe consigliabile disattivare del tutto l'accesso remoto, a prescindere dalla porta scelta, in quanto questa potrebbe non essere rilevante.

Comunicato AVM

AVM ha comunicato di essere al corrente di un problema ai 7590 che disabilita l'accesso a Internet tramite PPPoE e l'interfaccia di gestione web. Non vengono tuttavia menzionati attacchi.

AVM is aware of cases in which internet access via PPPoE and/or the login to the FRITZ!Box 7590 user interface is no longer possible. AVM is currently investigating the issue thoroughly. What we currently know:

  • In all cases remote access to the FRITZ!Box user interface via https was found enabled, using the https well known port 443.
  • In all cases this https access was set up by the ISP in order to administrate the router
  • We are not aware of any FRITZ!Box models besides FRITZ!Box 7590 that are affected by the issue.

What we recommend to end users to re-establish their internet service:

  • Open http://fritz.box in a browser on a device connected to the FRITZ!Box.
  • If Login is possible with the FRITZ!Box password click on “Assistants” then “Internet” and follow the instructions.
  • If Login is not possible restore the user settings by using the "Forgot password" function on the login page and follow the instructions (detailed information). After the internet service has been reestablished update to the current FRITZ!OS version.

We deeply regret any inconveniences and will come up with updated information as soon as our investigations reveal them. In case of any further questions please do not hesitate to contact us.

Patch

Il 4/9/2023 AVM ha rilasciato una nuova versione (7.57) del firmware, che dovrebbe (presumibilmente) patchare il problema in questione. Cosa sia cambiato nella sostanza non viene reso noto.

Security improvements FRITZ!OS 7.57
Description:

  • Necessary stability and security update.
  • Details will be published at a later date.

Link

Vulnerabilità registrata

È stata registrata la vulnerabilità sul sito CERT tedesco, per il momento senza nessun dettaglo.

https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-2262


Il messaggio verrà aggiornato se ci saranno novità.

    edofullo ha cambiato il titolo in [ATTENZIONE] Scoperta vulnerabilità su modem/router AVM FritzBox .

    443

    🤦‍♂️

    edofullo Il consiglio per la mitigazione al momento è quello di chiudere la porta 443 se aperta

    Dubito un utente medio con un apparato AVM sappia farlo. Consiglierei di staccare tutto, piuttosto... 😁

    • SebaDav ha risposto a questo messaggio

      Siamo sicuri che sia quella sola porta? perché mi pare strano a meno che il fritz (non ce l'ho come apparato) sulla 443 non esponga qualche suo servizio.

      Ma santo cielo... io speravo che nel 2023 le porte riservate fossero di default chiuse in ingresso.

      • Cal ha risposto a questo messaggio

        PaulBW è aperta

        per quale assurdo motivo dovrebbero avere porte lato wan aperte di default?

        xblitz a meno che il fritz sulla 443 non esponga qualche suo servizio.

        non è così assurdo che ci sia un pannello web, lì. Ma attivo di default?

        xblitz Ma santo cielo... io speravo che nel 2023 le porte riservate fossero di default chiuse in ingresso.

        Ma anche tutte. Se non ci sta nessuno ad ascoltare, che apri?

        • xblitz ha risposto a questo messaggio

          PaulBW come non detto è aperta

          Hai attivato la gestione remota per caso? O era aperta già di suo per qualche altro ignoto motivo? 😅

            mirko991 no disabilitato, ora controllo meglio

            PaulBW come non detto è aperta

            In che senso? Manda uno screen del default se puoi

            Io mi aspetterei sia chiusa di default, ma molti (io compreso, ma non ho FritzBox) la aprono per esporre https

            • PaulBW ha risposto a questo messaggio
            • xblitz ha messo mi piace.

              edofullo

              Correggetemi che sicuramente sbaglio qualcosa.

              Sbaglio perchè è la rete locale giusto?

                Cal Ma attivo di default?

                ma non dall'esterno, insomma la porta dovrebbe essere accessibile - di default - solo da IP della LAN.

                Ecco perché mi pare strano che il problema ci sia solo sulla 443. Dovrebbe esserci con tutte.

                Cal che apri?

                Nel mio glorioso netgear DG834GT c'è l'opzione per disabilitare le porte di istant messaging (siamo nel 2006 non nel 2023) quindi presumo che di default fossero aperte.

                • Cal ha risposto a questo messaggio

                  xblitz Ecco perché mi pare strano che il problema ci sia solo sulla 443

                  in effetti è strano, ci vorrebbero più dettagli. magari la vulnerabilità è nell'applicazione esposta.

                  xblitz Nel mio glorioso netgear DG834GT c'è l'opzione per disabilitare le porte di istant messaging (siamo nel 2006 non nel 2023) quindi presumo che di default fossero aperte.

                  Allora era irc, e c'era il direct connect. Un firewall che si voleva rendere utile 😃

                  PaulBW Sbaglio perchè è la rete locale giusto?

                  molti di quei servizi (dns, dhcp, ntp, ssdp) non ha senso siano esposti all'esterno. Mi sa che quello è il firewall fra lan e fritz.

                  edofullo Versione 7.56, dall'esterno è chiusa

                  • Max6502 ha risposto a questo messaggio
                    • Gestione Delivery - FiberCop

                    Quelle sono appunto le porte accessibili da LAN:

                    Sono elencate altrove le eventuali accessibili da WAN:

                    E la GUI HTTPS di default è in ascolto su porta random superiore alla 1024.

                    • PaulBW ha risposto a questo messaggio

                      PaulBW
                      Si sono servizi della rete locale

                      Aspettiamo ulteriori notizie...
                      Può essere che chi sta prendendo il controllo dei fritzbox sia già all'interno della LAN

                      • PaulBW ha risposto a questo messaggio

                        edofullo Curioso solo la porta 443. È una vulnerabilità dello stack TLS, oppure API disponibile solo su HTTPS?

                        walt

                        bortolotti80

                        l'unica aperta verso internet quindi è questa da quanto ho capito. ma a che serve?

                          FERRARI81 Corretto. La porta per accesso remoto è relativamente “random” (immagino dipenda da nome dynamic dns e/o MAC ed nel mio caso è sopra la 40000:

                          Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                          P.I. IT16712091004 - info@fibraclick.it

                          ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile