Qualcosa sta compromettendo il funzionamento di alcuni router AVM Fritz!Box 7590

Filippo94 · 2023-08-28T10:00:31+00:00

ErBlask contrariamente come digitando xxxx/myfritz.net

beh, di solito è ...net:portaacaso non :443

bortolotti80 · 2023-08-28T10:01:21+00:00

tris_tm Si dice che solo il 7590 sia afflitto da tale criticità, ma sul forum è apparsa stamattina la segnalazione di uno col 7530 (cosa che mi sarei aspettata visto che il fritzOS di base è lo stesso, con i vari adattamenti del caso).

Non mi aspetto che sia lo stesso problema, perchè l'utente con il 7530, ha accessi negati e sembra un tentativo di bruteforce, se l'ip non cambiava da tempo o è statico, è normale avere tentativi del genere sul lungo termine

Il Bug che invece affligge i 7590, consente l'accesso al Fritzbox, senza tentativi/bruteforce, altrimenti non avrebbe senso questo thread, basta solamente che si abbia accesso, esposta verso internet, alla WebUI, poi tramite un bug hanno accesso all'interfaccia (come, a noi è sconosciuto al momento, non si sa nemmeno se qualcosa risulta nei log)

Ppietropierantozzi · 2023-08-28T10:01:24+00:00

handymenny si

walt non mi era mai successo prima però (in 2 anni che ho il FritzBox)

bortolotti80 e come mai all’improvviso dal 19 agosto dovrebbero aver preso di mira il mio IP (che si è statico)? Se fosse così e non si trattasse di questa vulnerabilità che mi consigliate di fare?

tris_tm · 2023-08-28T10:03:23+00:00

handymenny è un post di un ISP in un gruppo dedicato, nulla di così strano

qui ne trovi un'altra di fonte: HackerWolf

Bene, ma la fonte allora ha dati errati, stamattina è successa la questione con un 7530

walt · 2023-08-28T10:03:55+00:00

handymenny in realtà è anche più semplice

appunto: se posso sfruttare una vulnerabilità, perché "perdere tempo" in attacchi brute force?

pietropierantozzi non mi era mai successo prima però (in 2 anni che ho il FritzBox)

Causalità e temporalità sono due concetti infingardi

MMarco25 · 2023-08-28T10:07:30+00:00

Fra27 Esistono anche diversi servizi che scansionano continuamente internet e forniscono accesso API ai metadati sulle porte e servizi disponibili sugli indirizzi IP, domini, certificati HTTPS, etc, per cui i malintenzionati non devono neanche sprecarsi con nmap.

bortolotti80 · 2023-08-28T10:09:47+00:00

pietropierantozzi e come mai all’improvviso dal 19 agosto dovrebbero aver preso di mira il mio IP (che si è statico)? Se fosse così e non si trattasse di questa vulnerabilità che mi consigliate di fare?

Può essere che casualmente prima non abbiano scandagliato il tuo IP, oppure non lo stessero scandagliando e abbiano iniziato recentemente

Il consiglio è disabilitare l'accesso remoto (esposto) al fritzbox, come hai già detto di aver fatto, ed accedere alla rete tramite VPN, anche per gestire il fritzbox

Chi ha il 7590 ed è stato colpito dalla vulnerabilità, si è ritrovato le impostazioni del fritzbox cambiate, se i tentativi di accesso approvati nei log (nel tuo caso con 7530), sono stati effettuati da te, non mi preoccuperei

Ppietropierantozzi · 2023-08-28T10:14:00+00:00

bortolotti80 capito, grazie.
La dicitura che compare nel log ogni tanto riguardo la porta 80 è normale invece?

ErBlask · 2023-08-28T10:16:18+00:00

bortolotti80 Chi ha il 7590 ed è stato colpito dalla vulnerabilità

Ne ho uno di proprietà, vediamo se lo visitano... tanto e collegato solo il Rasp con Wireguard sulla seconda lineare vdsl di backup.

bortolotti80 · 2023-08-28T10:16:57+00:00

pietropierantozzi

Ti rispondo nell'altra discussione, personale, qui creiamo confusione non essendo in tema

ErBlask · 2023-08-28T10:20:44+00:00

pietropierantozzi a me all'epoca dei fatti, sul 7490 uscivano i stessi avvisi, solo con aggiunta di che username e password avevano inserito per tentare di accedere...

Aauleia · 2023-08-28T10:22:02+00:00

bortolotti80 " si è ritrovato le impostazioni del fritzbox cambiate", quali eventualmente?

ErBlask · 2023-08-28T10:27:34+00:00

auleia viene descritto qui
https://forum.fibra.click/d/43490-attenzione-scoperta-vulnerabilita-su-modemrouter-avm-fritzbox

Ddanyw3b · 2023-08-28T10:31:09+00:00

Fra27 Benché io abbia attivo l'accesso via internet, ho Comunque scelto una porta da me, diversa dalla 443, quindi chiunque può farlo, senza sacrificare l'accesso dall'esterno imho. Basta indicare all'interno del textbox Porta TCP per HTTPS quella desiderata.

Aauleia · 2023-08-28T10:35:09+00:00

ErBlask solo queste due?
modificano le credenziali PPP impedendo all'utente di connettersi a Internet
modificano le credenziali di amministrazione impedendo all'utente di entrare nel router

MMarco25 · 2023-08-28T10:37:11+00:00

Trovo curioso che i malintenzionati utilizzino vulnerabilità zero-day in router per mero DoS palese all'utente piuttosto che l'alimentazione di botnet su scala globale o per compiere crimini informatici con l'IP della vittima.

QQuintilio · 2023-08-28T10:41:39+00:00

Ciao a tutti, esiste un canale ufficiale di Avm dove stanno informando della situazione?
Grazie

ErBlask · 2023-08-28T10:41:46+00:00

auleia E che ci possiamo fare..., mica tutti si annidano nei router e filtrano tutti i dati (specie quelli sensibili bancari)

Aauleia · 2023-08-28T10:43:50+00:00

ErBlask leggendo se non sono riusciti ad entrare, perché io entro nell'interfaccia con i miei dati, non hanno toccato nulla? cosa vuol dire la tua risposta, scusami

ErBlask · 2023-08-28T10:48:09+00:00

auleia l'etica del vero Hacker e dimostrare a chi che sia (in questo caso a avm) la sua superiorità, entrando dentro casa senza fare danni