Qualcosa sta compromettendo il funzionamento di alcuni router AVM Fritz!Box 7590

ErBlask · 2023-08-28T08:05:17+00:00

Dopo che ieri ho letto questo articolo, mi è tornato alla mente quello che mi capitò tempo a dietro.
Anni fa con il 7490 attivai l'opzione "accesso da internet" In servizi FRITZ!Box registrandomi su myFRITZ con e-mail, e dopo qualche settimana in Sistema > Eventi notai tentativi falliti di accesso alla Web Gui da IP pubblici stranieri (tracciandoli, venivano prevalentemente da cina e america).
I fallimenti registrati dal fritz riguardavano l'username e password (avendo creato un utente sul Fritz) della Gui del Fritz (Ca**o sono dietro la porta).
La cosa che all'epoca provai, che inserendo nel browser il "mio IP: 443" da esterno, non arrivavo alla web gui del Fritz, contrariamente come digitando xxxx/myfritz.net...
Da allora ho disabilitato a VITA l'accesso da internet del Fritz (ora uso la VPN).

Riflettendo sulla costa, posso anche ipotizzare che hanno "Bucato" il sistema myfritz dove risiedono tutte le coordinate dei Fritz registrati (collegando alla mia esperienza).
Ripeto è solo una mia supposizione.

Lanciando sulla rete un bot scan ports, anche se trova centinaia di 443 su un certo range di IP, come fa a sapere che quella porta e ospitata da un Fritz..., filtrare la cosa sarebbe un'impresa mastodontica, mi viene più in mente una cosa mirata tramite il myfritz...

Straripeto mie "Supposizioni"

//Update,,,,, non ho mai aperto la 443 ne all'epoca ne mai, in "Abilitazione"

Fra27 · 2023-08-28T08:54:16+00:00

ErBlask Lanciando sulla rete un bot scan ports, anche se trova centinaia di 443 su un certo range di IP, come fa a sapere che quella porta e ospitata da un Fritz

È relativamente semplice, ci stanno tanti tool che consentono di fare OS Detection e verificare eventuali servizi esposti su una determinata porta (con sistema e versione). Richiede solo molto più tempo rispetto a valutare esclusivamente la raggiungibilità di una porta. (Ovviamente presupponendo che i firewall presenti non filtrino tali pacchetti)

Comunque eventuali scansioni massive da parte di utenti malevoli sono facilmente identificabili dai firewall che i vari isp hanno, secondo me procedono direttamente provando ad attaccare range di indirizzi ip di isp che forniscono i fritz in comodato d'uso. Richiede molto meno tempo ed è molto meno invasivo.

walt · 2023-08-28T09:00:29+00:00

ErBlask anche se trova centinaia di 443 su un certo range di IP, come fa a sapere che quella porta e ospitata da un Fritz

Nel caso di WebUI esposta sulla 443 basta poco...che ce vò?

ErBlask · 2023-08-28T09:16:22+00:00

Fra27 secondo me procedono direttamente provando ad attaccare range di indirizzi ip di isp che forniscono i fritz in comodato d'uso.

Anche io pensavo in quella direzione...
Conoscendo il Bug + il provider che da quella macchina, restringo il cerchio d'attacco.

tris_tm · 2023-08-28T09:44:21+00:00

simonebortolin Chiudere la porta non è un problema visto che nemmeno ne fa uso per l'accesso dall'esterno.

andreagdipaolo Continuo a non capire questo scetticismo/negazionismo nei confronti di questa vulnerabilità.
Ci crederete solo quando la annuncerà AVM?

Capisco la diffidenza sulle ipotesi (ho indicato appositamente che la speculazione sull'origine in hardware è un'ipotesi) ma l'esistenza di questo problema è un fatto incontestabile.

Il mio commento era voluto perchè non si comprende bene la situazione, viene riportato che la 443 è aperta, quando apparentemente, per la stragrande maggioranza, non è così.
Si dice che solo il 7590 sia afflitto da tale criticità, ma sul forum è apparsa stamattina la segnalazione di uno col 7530 (cosa che mi sarei aspettata visto che il fritzOS di base è lo stesso, con i vari adattamenti del caso).

Inoltre il fatto di aver eliminato la fonte di questa segnalazione non aiuta alla chiarezza della situazione.

Ppietropierantozzi · 2023-08-28T09:48:07+00:00

Io sono il ragazzo con il 7530, stamani ho aperto un altro thread perché mi era sfuggito questo.
Ho notato stamani che avevo diversi tentativi di accesso da remoto al FritzBox a partire dal 19 agosto. Effettivamente avevo la porta in questione aperta lato WAN, che adesso ho chiuso.
Vi faccio sapere se da ora in poi ci saranno nuovi tentativi di accesso o se effettivamente chiudere questa porta, almeno al momento, risolve il problema

ErBlask · 2023-08-28T09:54:13+00:00

pietropierantozzi sono il ragazzo con il 7530

Scusa la domanda, il 7530 e di proprietà o dato dal provider, tanto per capire come sopra descritto se è qualche ISP mirato.

Hhandymenny · 2023-08-28T09:55:59+00:00

tris_tm Si dice che solo il 7590 sia afflitto da tale criticità, ma sul forum è apparsa stamattina la segnalazione di uno col 7530

è improbabile che l'attaccante riesca a distinguere un 7530 da un 7590, quindi probabile ci provi lo stesso

tris_tm Inoltre il fatto di aver eliminato la fonte di questa segnalazione non aiuta alla chiarezza della situazione.

è un post di un ISP in un gruppo dedicato, nulla di così strano

qui ne trovi un'altra di fonte: HackerWolf

Ppietropierantozzi · 2023-08-28T09:56:14+00:00

ErBlask no non è di proprietà, è quello che mi ha fornito Eolo circa 2 anni fa quando ho fatto il contratto

Hhandymenny · 2023-08-28T09:57:31+00:00

pietropierantozzi sei ancora con eolo?

walt in realtà è anche più semplice:

walt · 2023-08-28T09:59:31+00:00

pietropierantozzi per quanto spiacevoli, tentativi canonici di accesso alla cieca così come segnalati dal log

mi paiono attività per definizione non congruenti con uno scenario di vulnerabilità di progettazione o programmazione...

Filippo94 · 2023-08-28T10:00:31+00:00

ErBlask contrariamente come digitando xxxx/myfritz.net

beh, di solito è ...net:portaacaso non :443

bortolotti80 · 2023-08-28T10:01:21+00:00

tris_tm Si dice che solo il 7590 sia afflitto da tale criticità, ma sul forum è apparsa stamattina la segnalazione di uno col 7530 (cosa che mi sarei aspettata visto che il fritzOS di base è lo stesso, con i vari adattamenti del caso).

Non mi aspetto che sia lo stesso problema, perchè l'utente con il 7530, ha accessi negati e sembra un tentativo di bruteforce, se l'ip non cambiava da tempo o è statico, è normale avere tentativi del genere sul lungo termine

Il Bug che invece affligge i 7590, consente l'accesso al Fritzbox, senza tentativi/bruteforce, altrimenti non avrebbe senso questo thread, basta solamente che si abbia accesso, esposta verso internet, alla WebUI, poi tramite un bug hanno accesso all'interfaccia (come, a noi è sconosciuto al momento, non si sa nemmeno se qualcosa risulta nei log)

Ppietropierantozzi · 2023-08-28T10:01:24+00:00

handymenny si

walt non mi era mai successo prima però (in 2 anni che ho il FritzBox)

bortolotti80 e come mai all’improvviso dal 19 agosto dovrebbero aver preso di mira il mio IP (che si è statico)? Se fosse così e non si trattasse di questa vulnerabilità che mi consigliate di fare?

tris_tm · 2023-08-28T10:03:23+00:00

handymenny è un post di un ISP in un gruppo dedicato, nulla di così strano

qui ne trovi un'altra di fonte: HackerWolf

Bene, ma la fonte allora ha dati errati, stamattina è successa la questione con un 7530

walt · 2023-08-28T10:03:55+00:00

handymenny in realtà è anche più semplice

appunto: se posso sfruttare una vulnerabilità, perché "perdere tempo" in attacchi brute force?

pietropierantozzi non mi era mai successo prima però (in 2 anni che ho il FritzBox)

Causalità e temporalità sono due concetti infingardi

MMarco25 · 2023-08-28T10:07:30+00:00

Fra27 Esistono anche diversi servizi che scansionano continuamente internet e forniscono accesso API ai metadati sulle porte e servizi disponibili sugli indirizzi IP, domini, certificati HTTPS, etc, per cui i malintenzionati non devono neanche sprecarsi con nmap.

bortolotti80 · 2023-08-28T10:09:47+00:00

pietropierantozzi e come mai all’improvviso dal 19 agosto dovrebbero aver preso di mira il mio IP (che si è statico)? Se fosse così e non si trattasse di questa vulnerabilità che mi consigliate di fare?

Può essere che casualmente prima non abbiano scandagliato il tuo IP, oppure non lo stessero scandagliando e abbiano iniziato recentemente

Il consiglio è disabilitare l'accesso remoto (esposto) al fritzbox, come hai già detto di aver fatto, ed accedere alla rete tramite VPN, anche per gestire il fritzbox

Chi ha il 7590 ed è stato colpito dalla vulnerabilità, si è ritrovato le impostazioni del fritzbox cambiate, se i tentativi di accesso approvati nei log (nel tuo caso con 7530), sono stati effettuati da te, non mi preoccuperei

Ppietropierantozzi · 2023-08-28T10:14:00+00:00

bortolotti80 capito, grazie.
La dicitura che compare nel log ogni tanto riguardo la porta 80 è normale invece?

ErBlask · 2023-08-28T10:16:18+00:00

bortolotti80 Chi ha il 7590 ed è stato colpito dalla vulnerabilità

Ne ho uno di proprietà, vediamo se lo visitano... tanto e collegato solo il Rasp con Wireguard sulla seconda lineare vdsl di backup.