Leggendo su gruppi di settore sembrerebbe esserci una grave vulnerabilità che riguarda il modem/router FritzBox 7590, anche se al momento non possiamo escludere con certezza che altri modelli ne siano afflitti.
La presunta vulnerabilità permetterebbe di modificare la configurazione del dispositivo probabilmente attraverso l'esposizione di porte su internet.
Il principale sospetto, che rientra nelle caratteristiche comuni alle vittime diramate da AVM stessa, sarebbe l'esposizione della porta 443 per l'accesso remoto al router.
Secondo altre fonti basterebbe anche un port forwarding, mentre per altre testimonianze sarebbero stati colpiti anche apparati con porta 443 chiusa, che usavano quindi altre porte per le suddette funzionalità.
La causa degli eventi non è stata ancora confermata o ufficializzata.
L'attacco
Da quello che sappiamo, i clienti di diversi operatori (anche non italiani) stanno subendo quelli che sembrerebbero essere attacchi che sfrutterebbero proprio questa presunta vulnerabilità. Gli effetti sono i seguenti:
- Cancellazione delle credenziali PPP impedendo all'utente di connettersi a Internet
- Modifica o cancellazione delle credenziali di amministrazione impedendo all'utente di entrare nel router
La soluzione per ripristinare il funzionamento è quella di un reset del dispositivo per recuperare l'accesso al pannello di controllo e una riconfigurazione dei parametri PPPoE per la connessione a Internet.
Non sono al momento noti effetti a lungo termine.
Prevenzione
In attesa di un aggiornamento del firmware da parte di AVM, il consiglio per tentare di evitare di essere colpiti (senza garanzie di efficacia) è controllare se la porta 443 lato WAN è aperta e, se aperta, chiuderla (seguendo queste istruzioni).
Secondo altre fonti, come precedentemente indicato, sarebbe consigliabile disattivare del tutto l'accesso remoto, a prescindere dalla porta scelta, in quanto questa potrebbe non essere rilevante.
Comunicato AVM
AVM ha comunicato di essere al corrente di un problema ai 7590 che disabilita l'accesso a Internet tramite PPPoE e l'interfaccia di gestione web. Non vengono tuttavia menzionati attacchi.
AVM is aware of cases in which internet access via PPPoE and/or the login to the FRITZ!Box 7590 user interface is no longer possible. AVM is currently investigating the issue thoroughly. What we currently know:
- In all cases remote access to the FRITZ!Box user interface via https was found enabled, using the https well known port 443.
- In all cases this https access was set up by the ISP in order to administrate the router
- We are not aware of any FRITZ!Box models besides FRITZ!Box 7590 that are affected by the issue.
What we recommend to end users to re-establish their internet service:
- Open http://fritz.box in a browser on a device connected to the FRITZ!Box.
- If Login is possible with the FRITZ!Box password click on “Assistants” then “Internet” and follow the instructions.
- If Login is not possible restore the user settings by using the "Forgot password" function on the login page and follow the instructions (detailed information). After the internet service has been reestablished update to the current FRITZ!OS version.
We deeply regret any inconveniences and will come up with updated information as soon as our investigations reveal them. In case of any further questions please do not hesitate to contact us.
Patch
Il 4/9/2023 AVM ha rilasciato una nuova versione (7.57) del firmware, che dovrebbe (presumibilmente) patchare il problema in questione. Cosa sia cambiato nella sostanza non viene reso noto.
Security improvements FRITZ!OS 7.57
Description:
- Necessary stability and security update.
- Details will be published at a later date.
Link
Vulnerabilità registrata
È stata registrata la vulnerabilità sul sito CERT tedesco, per il momento senza nessun dettaglo.
https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-2262
Il messaggio verrà aggiornato se ci saranno novità.