Qualcosa sta compromettendo il funzionamento di alcuni router AVM Fritz!Box 7590

walt · 2023-08-26T18:15:55+00:00

Quelle sono appunto le porte accessibili da LAN:

Sono elencate altrove le eventuali accessibili da WAN:

E la GUI HTTPS di default è in ascolto su porta random superiore alla 1024.

bortolotti80 · 2023-08-26T18:15:57+00:00

PaulBW
Si sono servizi della rete locale

Aspettiamo ulteriori notizie...
Può essere che chi sta prendendo il controllo dei fritzbox sia già all'interno della LAN

MMarco25 · 2023-08-26T18:16:52+00:00

edofullo Curioso solo la porta 443. È una vulnerabilità dello stack TLS, oppure API disponibile solo su HTTPS?

PaulBW · 2023-08-26T18:19:39+00:00

walt

bortolotti80

l'unica aperta verso internet quindi è questa da quanto ho capito. ma a che serve?

MMax6502 · 2023-08-26T18:22:31+00:00

FERRARI81 Corretto. La porta per accesso remoto è relativamente “random” (immagino dipenda da nome dynamic dns e/o MAC ed nel mio caso è sopra la 40000:

Hhandymenny · 2023-08-26T18:55:00+00:00

La stessa fonte dice che il problema è sul port forwarding, forse (speculazione mia) hanno trovato il modo di accedere alla webui locale dei fritzbox da remoto e avere la 443 chiusa lato firewall vi protegge

bortolotti80 · 2023-08-26T19:06:27+00:00

PaulBW
Non saprei dirti perchè non l'ho attiva, probabilmente è la funzione di reporting di AVM, cliccando su modifica forse ti rimanda all'impostazione che la abilita

handymenny
Se fosse, riuscirebbero comunque ad accedere senza password di default o conosciute ?

PaulBW · 2023-08-26T19:08:52+00:00

bortolotti80 giusto, chiusa, grazie.

SSupreme69 · 2023-08-26T19:10:19+00:00

non mi pare ci sia modo di chiudere la 443, a meno di smentite, sul fritzbox non trovo alcuna opzione

bortolotti80 · 2023-08-26T19:19:04+00:00

Supreme69

Dovresti riuscire in questo modo, io avevo creato ai tempi regole per bloccare l'accesso a DNS non miei, da rete locale , andrebbe attivato su tutti i profili però a differenza del mio esempio

LucaTheHacker · 2023-08-26T19:44:49+00:00

edofullo Mi chiamavano Nostradamus.
Scherzi a parte, ricordo che già al tempo furono applicati cambiamenti al login del FritzBox, nonostante il buco nell'acqua, ma visto il funzionamento del login non mi stupirei di nulla (potevi usare i token di sessione locali per accedere dall'esterno, ad esempio).

handymenny Io suppongo sia necessario avere la WebGUI HTTPS aperta, per un semplice motivo: una falla grossa ha senso se riesci ad accedere al router, se la falla fosse poter accedere ad una pagina di login non avrebbe generato tutto questo "panico".
Anche perché il login "in LAN" ha comunque i suoi ratelimit e roba varia, per cui boh.

D3de · 2023-08-26T21:00:49+00:00

edofullo ma si intende 443 aperta su fritzbox stesso oppure anche port forwarding su un’altra macchina in rete locale?

Ppascop96 · 2023-08-26T21:03:04+00:00

Chi non la porta 443 tra le "porte aperte per l'accesso da Internet" non deve fare alcun intervento?

Hhandymenny · 2023-08-26T21:07:21+00:00

LucaTheHacker non è detto sia necessario fare login per far danni (sul mio zyxel basta una get "particolare" per mandarlo ko)

D3de da quello che ho capito io è sufficiente una delle due, forse anche una DMZ

D3de · 2023-08-26T21:09:12+00:00

handymenny fantastico.. provvedo a chiuderla allora.. si sa mai.

ElCresh · 2023-08-26T21:11:00+00:00

PaulBW Che strano, nei 7530 che ho in controllo la gestione remota in HTTPS è su porta randomizzata e la 443 è chiusa.

PaulBW · 2023-08-26T21:12:49+00:00

ElCresh stavo guardando l'elenco delle porte in rete interna. Errore mio.

Attualmente sono tutte chiuse quelle verso internet

Ppascop96 · 2023-08-26T21:12:53+00:00

ElCresh anche a me è cosi

CCal · 2023-08-26T21:18:07+00:00

handymenny da quello che ho capito io è sufficiente una delle due, forse anche una DMZ

vabbè, questo è al livello "spegnilo e mettilo nell'armadio" più che "chiudi la porta"

Hhandymenny · 2023-08-26T21:23:51+00:00

Cal che non è male come idea

comunque credo che assicurarsi che la 443 sia closed e che l'accesso alla web ui da remoto sia disattivo dovrebbe essere sufficiente

Poi comunque non ci sono molto dettagli, facile scambiare fischi per fiaschi