Qualcosa sta compromettendo il funzionamento di alcuni router AVM Fritz!Box 7590

andreagdipaolo · 2023-08-27T20:22:30+00:00

Nnc Se è in cascata e non ha IP pubblico non devi fare nulla, a meno che non hai fatto dei forwarding sul tuo modem principale per raggiungere il 4040 da fuori. Almeno per quanto ne sappiamo al momento.

tris_tm La cosa è limitata solo a vecchi FW?

Sembra che siano colpiti anche i più recenti.

morfzeus ragazzi io ho un 7530 AX

Al momnto l'unico modello che sicuramente è coinvolto è il 7590 "classico" con WiFi 5. Non sono esclusi altri modelli ma visto che per ora si ha certezza che impatti solo quel modello qualcuno ipotizza che il problema possa essere addirittura nell'hardware, magari in qualche accelerazione o altro. Solo ipotesi comunque.

PPhilein · 2023-08-27T20:30:57+00:00

Sto provando a connettermi tramite myfritz per fare un check (sono fuori casa) e mi dà connessione timeout. Possibile che AVM stia intervenendo?

Filippo94 · 2023-08-27T20:42:28+00:00

Philein da xxxx.myfritz.net? A me si apre

Ppascop96 · 2023-08-27T21:32:43+00:00

Finora sembra che nessuno (o in pochissimi, forse me ne son perso qualcuno) abbia la porta 443 aperta su WAN, quindi la vulnerabilità non sembrerebbe essere cosi diffusa...

ErBlask · 2023-08-27T21:41:31+00:00

pascop96 solitamente è una porta che aprono nel "Port-Forwarding" chi a su un serverino del tipo nextcloud...

tris_tm · 2023-08-27T22:09:21+00:00

andreagdipaolo Al momnto l'unico modello che sicuramente è coinvolto è il 7590 "classico" con WiFi 5. Non sono esclusi altri modelli ma visto che per ora si ha certezza che impatti solo quel modello qualcuno ipotizza che il problema possa essere addirittura nell'hardware, magari in qualche accelerazione o altro. Solo ipotesi comunque.

Ma quel qualcuno chi?

sinceramente ci andrei coi piedi di piombo...

simonebortolin · 2023-08-27T22:19:15+00:00

tris_tm Sincermanete io (oltre a chiudere la porta, se possibile) non mi preoccuperei troppo a meno di
1) avere un ISP con un numero ridotto di utenti con principale fritzbox le cui subnet sono facilmente individuali
2) avere un ISP che dedica subnet speciali ai fritzbox (o router liberi) le cui subnet sono facilmente individuali (per esempio se usi le credenziali generiche vai su alcune subnet diverse da quelle non generiche)
3) avere un ISP che ha realmente pochi indirizzi IP

Nel caso di grossi ISP scandagliare tutti gli IP dei pool, alla ricerca dei fritzbox malati è una impresa titanica che non vale la pena.

Qualsiasi attacco ai fritzbox sarà comunque in massa e difficile scalabile, e farlo a subnet come quelle di tim o Wind è pressoché impossibile.

Hhandymenny · 2023-08-27T22:25:25+00:00

simonebortolin o Wind è pressoché impossibile.

dimentichi che lo hanno fatto per i modem Wind

Comunque in alcuni gruppi facebook (non ho link) ci sono utenti che sembrano confermare il problema (cioè dichiarano di essere state vittime di questo attacco), legandolo alla combinazione fritz 7590 e gestione remota attiva su porta 443 (ma forse è perché stanno cercando solo su quella?).

CCal · 2023-08-27T22:27:30+00:00

simonebortolin Nel caso di grossi ISP scandagliare tutti gli IP dei pool, alla ricerca dei fritzbox malati è una impresa titanica che non vale la pena.

Non pensare che ci voglia chissà quanto a scandagliare tutto IPv4. (pensa giorni al massimo)

simonebortolin · 2023-08-27T22:31:13+00:00

handymenny dimentichi che lo hanno fatto per i modem Wind

Sono modem wind, non di terze parti, c'è molta più probabilità di beccarli fallati.

Come i tp link con il problema le credenziali voip in chiaro solo ad isp piccoli è stato sferrato l'attacco

Cal Non pensare che ci voglia chissà quanto a scandagliare tutto IPv4. (pensa giorni al massimo)

Hai già detto tutto, giorni. Chi ha voglia di fare questi attacchi non spreca più di qualche ora.

handymenny legandolo alla combinazione fritz 7590 e gestione remota attiva su porta 443 (ma forse è perché stanno cercando solo su quella?).

Tutti quelli che ho sentito sono comunque con piccoli ISP e si solo 7590, mi sarei aspettato anche 7530

bortolotti80 · 2023-08-27T22:32:29+00:00

Nnc
Quella è la sezione protocolli esposti in LAN, perché avendolo in cascata non avrai quelli esposti in WAN

Come ti ha detto Andrea, basta che tu non abbia fatto un portforwarding della porta 443/80 dalle impostazioni del modem verso il fritzbox per accedervi da internet (al fritzbox)

andreagdipaolo · 2023-08-28T01:35:13+00:00

simonebortolin Tutti quelli che ho sentito sono comunque con piccoli ISP e si solo 7590, mi sarei aspettato anche 7530

Sono due apparati molto diversi sotto la scocca, che di fatto è l'unica cosa che li accomuna come stile oltre alla grafica della webui.

tris_tm Ma quel qualcuno chi?

sinceramente ci andrei coi piedi di piombo...

Continuo a non capire questo scetticismo/negazionismo nei confronti di questa vulnerabilità.
Ci crederete solo quando la annuncerà AVM?

Capisco la diffidenza sulle ipotesi (ho indicato appositamente che la speculazione sull'origine in hardware è un'ipotesi) ma l'esistenza di questo problema è un fatto incontestabile.

simonebortolin · 2023-08-28T05:37:08+00:00

andreagdipaolo Sono due apparati molto diversi sotto la scocca, che di fatto è l'unica cosa che li accomuna come stile oltre alla grafica della webui.

Anche il chipset lantiq

andreagdipaolo Continuo a non capire questo scetticismo/negazionismo nei confronti di questa vulnerabilità.
Ci crederete solo quando la annuncerà AVM?

Se mai lo annuncerà... Intanto magari sono già stati hackerati

Xxblitz · 2023-08-28T07:46:54+00:00

handymenny porta 443 (ma forse è perché stanno cercando solo su quella?

Che poi era la mia obbiezione iniziale ovvero perché solo la 443? la voce iniziale parlava come vulnerabilità di quella porta e non SU quella porta - ovvero sul servizio che ci gira.

andreagdipaolo Ci crederete solo quando la annuncerà AVM?

Si, perché se io apro un topic dove scrivo "ho trovato una vulnerabilità su windows 10" - e sicuramente è un'affermazione corretta e poi non diffondo dettagli, che deve pensare l'utente dall'altro lato della tastiera?

andreagdipaolo l'esistenza di questo problema è un fatto incontestabile.

e, come ho detto prima, questo non spiega la richiesta di cancellare a pie pari l'intera citazione (peraltro presente in newsletter)... posso capire la rimozione dei riferimenti personali.

simonebortolin Se mai lo annuncerà...

Piccola riflessione personale: io non sono ancora stato raggiunto da fibra ma quel giorno arriverà e dovrò cambiare apparati, che attualmente sono dei netgear, ecco questa vicenda mi sembra un'ottima cartina di tornasole.

Comunque... ieri era domenica anche per AVM.

DDevidah · 2023-08-28T07:56:22+00:00

Riporto una guida che parla della 443:
https://it.avm.de/assistenza/banca-dati-informativa/dok/FRITZ-Box-7590/3467_Proteggere-il-FRITZ-Box/

Aauleia · 2023-08-28T08:00:21+00:00

questa parte, Abilitazioni".
Cliccare sulla scheda di registro "Servizi FRITZ!Box".
Invece della porta standard 443, inserire nel campo "Porta TCP per HTTPS" una porta non utilizzata e compresa tra 1024 e 65535. Risulterà pertanto più difficile per persone non autorizzate determinare se sia in generale possibile accedere al FRITZ!Box tramite HTTPS.
Cliccare su "Applica" per salvare le impostazioni.
Utilizzare porte FTP/FTPS

HackerWolf · 2023-08-28T08:04:47+00:00

Update da partner dove lavoro:

Gentile Partner,
Vi segnaliamo che il team di AVM sta ancora lavorando assieme ai tecnici * per rilasciare la fix e risolvere il problema precedentemente segnalato sulla porta 443, Vi informiamo inoltre allo stato attuale risulta impattato unicamente il modello 7590.

ErBlask · 2023-08-28T08:05:17+00:00

Dopo che ieri ho letto questo articolo, mi è tornato alla mente quello che mi capitò tempo a dietro.
Anni fa con il 7490 attivai l'opzione "accesso da internet" In servizi FRITZ!Box registrandomi su myFRITZ con e-mail, e dopo qualche settimana in Sistema > Eventi notai tentativi falliti di accesso alla Web Gui da IP pubblici stranieri (tracciandoli, venivano prevalentemente da cina e america).
I fallimenti registrati dal fritz riguardavano l'username e password (avendo creato un utente sul Fritz) della Gui del Fritz (Ca**o sono dietro la porta).
La cosa che all'epoca provai, che inserendo nel browser il "mio IP: 443" da esterno, non arrivavo alla web gui del Fritz, contrariamente come digitando xxxx/myfritz.net...
Da allora ho disabilitato a VITA l'accesso da internet del Fritz (ora uso la VPN).

Riflettendo sulla costa, posso anche ipotizzare che hanno "Bucato" il sistema myfritz dove risiedono tutte le coordinate dei Fritz registrati (collegando alla mia esperienza).
Ripeto è solo una mia supposizione.

Lanciando sulla rete un bot scan ports, anche se trova centinaia di 443 su un certo range di IP, come fa a sapere che quella porta e ospitata da un Fritz..., filtrare la cosa sarebbe un'impresa mastodontica, mi viene più in mente una cosa mirata tramite il myfritz...

Straripeto mie "Supposizioni"

//Update,,,,, non ho mai aperto la 443 ne all'epoca ne mai, in "Abilitazione"

Fra27 · 2023-08-28T08:54:16+00:00

ErBlask Lanciando sulla rete un bot scan ports, anche se trova centinaia di 443 su un certo range di IP, come fa a sapere che quella porta e ospitata da un Fritz

È relativamente semplice, ci stanno tanti tool che consentono di fare OS Detection e verificare eventuali servizi esposti su una determinata porta (con sistema e versione). Richiede solo molto più tempo rispetto a valutare esclusivamente la raggiungibilità di una porta. (Ovviamente presupponendo che i firewall presenti non filtrino tali pacchetti)

Comunque eventuali scansioni massive da parte di utenti malevoli sono facilmente identificabili dai firewall che i vari isp hanno, secondo me procedono direttamente provando ad attaccare range di indirizzi ip di isp che forniscono i fritz in comodato d'uso. Richiede molto meno tempo ed è molto meno invasivo.

walt · 2023-08-28T09:00:29+00:00

ErBlask anche se trova centinaia di 443 su un certo range di IP, come fa a sapere che quella porta e ospitata da un Fritz

Nel caso di WebUI esposta sulla 443 basta poco...che ce vò?