Qualcosa sta compromettendo il funzionamento di alcuni router AVM Fritz!Box 7590

PaulBW come non detto è aperta

Hai attivato la gestione remota per caso? O era aperta già di suo per qualche altro ignoto motivo?

mirko991 no disabilitato, ora controllo meglio

edofullo

Correggetemi che sicuramente sbaglio qualcosa.

Sbaglio perchè è la rete locale giusto?

Cal Ma attivo di default?

ma non dall'esterno, insomma la porta dovrebbe essere accessibile - di default - solo da IP della LAN.

Ecco perché mi pare strano che il problema ci sia solo sulla 443. Dovrebbe esserci con tutte.

Cal che apri?

Nel mio glorioso netgear DG834GT c'è l'opzione per disabilitare le porte di istant messaging (siamo nel 2006 non nel 2023) quindi presumo che di default fossero aperte.

xblitz Ecco perché mi pare strano che il problema ci sia solo sulla 443

in effetti è strano, ci vorrebbero più dettagli. magari la vulnerabilità è nell'applicazione esposta.

xblitz Nel mio glorioso netgear DG834GT c'è l'opzione per disabilitare le porte di istant messaging (siamo nel 2006 non nel 2023) quindi presumo che di default fossero aperte.

Allora era irc, e c'era il direct connect. Un firewall che si voleva rendere utile

PaulBW Sbaglio perchè è la rete locale giusto?

molti di quei servizi (dns, dhcp, ntp, ssdp) non ha senso siano esposti all'esterno. Mi sa che quello è il firewall fra lan e fritz.

edofullo Versione 7.56, dall'esterno è chiusa

Quelle sono appunto le porte accessibili da LAN:

Sono elencate altrove le eventuali accessibili da WAN:

E la GUI HTTPS di default è in ascolto su porta random superiore alla 1024.

PaulBW
Si sono servizi della rete locale

Aspettiamo ulteriori notizie...
Può essere che chi sta prendendo il controllo dei fritzbox sia già all'interno della LAN

edofullo Curioso solo la porta 443. È una vulnerabilità dello stack TLS, oppure API disponibile solo su HTTPS?

FERRARI81 Corretto. La porta per accesso remoto è relativamente “random” (immagino dipenda da nome dynamic dns e/o MAC ed nel mio caso è sopra la 40000:

La stessa fonte dice che il problema è sul port forwarding, forse (speculazione mia) hanno trovato il modo di accedere alla webui locale dei fritzbox da remoto e avere la 443 chiusa lato firewall vi protegge

PaulBW
Non saprei dirti perchè non l'ho attiva, probabilmente è la funzione di reporting di AVM, cliccando su modifica forse ti rimanda all'impostazione che la abilita

handymenny
Se fosse, riuscirebbero comunque ad accedere senza password di default o conosciute ?

bortolotti80 giusto, chiusa, grazie.

non mi pare ci sia modo di chiudere la 443, a meno di smentite, sul fritzbox non trovo alcuna opzione

edofullo Mi chiamavano Nostradamus.
Scherzi a parte, ricordo che già al tempo furono applicati cambiamenti al login del FritzBox, nonostante il buco nell'acqua, ma visto il funzionamento del login non mi stupirei di nulla (potevi usare i token di sessione locali per accedere dall'esterno, ad esempio).

handymenny Io suppongo sia necessario avere la WebGUI HTTPS aperta, per un semplice motivo: una falla grossa ha senso se riesci ad accedere al router, se la falla fosse poter accedere ad una pagina di login non avrebbe generato tutto questo "panico".
Anche perché il login "in LAN" ha comunque i suoi ratelimit e roba varia, per cui boh.

edofullo ma si intende 443 aperta su fritzbox stesso oppure anche port forwarding su un’altra macchina in rete locale?

Chi non la porta 443 tra le "porte aperte per l'accesso da Internet" non deve fare alcun intervento?