Qualcosa sta compromettendo il funzionamento di alcuni router AVM Fritz!Box 7590

edofullo

Correggetemi che sicuramente sbaglio qualcosa.

Sbaglio perchè è la rete locale giusto?

Cal Ma attivo di default?

ma non dall'esterno, insomma la porta dovrebbe essere accessibile - di default - solo da IP della LAN.

Ecco perché mi pare strano che il problema ci sia solo sulla 443. Dovrebbe esserci con tutte.

Cal che apri?

Nel mio glorioso netgear DG834GT c'è l'opzione per disabilitare le porte di istant messaging (siamo nel 2006 non nel 2023) quindi presumo che di default fossero aperte.

xblitz Ecco perché mi pare strano che il problema ci sia solo sulla 443

in effetti è strano, ci vorrebbero più dettagli. magari la vulnerabilità è nell'applicazione esposta.

xblitz Nel mio glorioso netgear DG834GT c'è l'opzione per disabilitare le porte di istant messaging (siamo nel 2006 non nel 2023) quindi presumo che di default fossero aperte.

Allora era irc, e c'era il direct connect. Un firewall che si voleva rendere utile

PaulBW Sbaglio perchè è la rete locale giusto?

molti di quei servizi (dns, dhcp, ntp, ssdp) non ha senso siano esposti all'esterno. Mi sa che quello è il firewall fra lan e fritz.

edofullo Versione 7.56, dall'esterno è chiusa

Quelle sono appunto le porte accessibili da LAN:

Sono elencate altrove le eventuali accessibili da WAN:

E la GUI HTTPS di default è in ascolto su porta random superiore alla 1024.

PaulBW
Si sono servizi della rete locale

Aspettiamo ulteriori notizie...
Può essere che chi sta prendendo il controllo dei fritzbox sia già all'interno della LAN

edofullo Curioso solo la porta 443. È una vulnerabilità dello stack TLS, oppure API disponibile solo su HTTPS?

walt

bortolotti80

l'unica aperta verso internet quindi è questa da quanto ho capito. ma a che serve?

FERRARI81 Corretto. La porta per accesso remoto è relativamente “random” (immagino dipenda da nome dynamic dns e/o MAC ed nel mio caso è sopra la 40000:

La stessa fonte dice che il problema è sul port forwarding, forse (speculazione mia) hanno trovato il modo di accedere alla webui locale dei fritzbox da remoto e avere la 443 chiusa lato firewall vi protegge

bortolotti80 giusto, chiusa, grazie.

non mi pare ci sia modo di chiudere la 443, a meno di smentite, sul fritzbox non trovo alcuna opzione

edofullo Mi chiamavano Nostradamus.
Scherzi a parte, ricordo che già al tempo furono applicati cambiamenti al login del FritzBox, nonostante il buco nell'acqua, ma visto il funzionamento del login non mi stupirei di nulla (potevi usare i token di sessione locali per accedere dall'esterno, ad esempio).

handymenny Io suppongo sia necessario avere la WebGUI HTTPS aperta, per un semplice motivo: una falla grossa ha senso se riesci ad accedere al router, se la falla fosse poter accedere ad una pagina di login non avrebbe generato tutto questo "panico".
Anche perché il login "in LAN" ha comunque i suoi ratelimit e roba varia, per cui boh.

edofullo ma si intende 443 aperta su fritzbox stesso oppure anche port forwarding su un’altra macchina in rete locale?

Chi non la porta 443 tra le "porte aperte per l'accesso da Internet" non deve fare alcun intervento?

LucaTheHacker non è detto sia necessario fare login per far danni (sul mio zyxel basta una get "particolare" per mandarlo ko)

D3de da quello che ho capito io è sufficiente una delle due, forse anche una DMZ

handymenny fantastico.. provvedo a chiuderla allora.. si sa mai.

PaulBW Che strano, nei 7530 che ho in controllo la gestione remota in HTTPS è su porta randomizzata e la 443 è chiusa.