Qualcosa sta compromettendo il funzionamento di alcuni router AVM Fritz!Box 7590

bortolotti80 giusto, chiusa, grazie.

non mi pare ci sia modo di chiudere la 443, a meno di smentite, sul fritzbox non trovo alcuna opzione

edofullo Mi chiamavano Nostradamus.
Scherzi a parte, ricordo che già al tempo furono applicati cambiamenti al login del FritzBox, nonostante il buco nell'acqua, ma visto il funzionamento del login non mi stupirei di nulla (potevi usare i token di sessione locali per accedere dall'esterno, ad esempio).

handymenny Io suppongo sia necessario avere la WebGUI HTTPS aperta, per un semplice motivo: una falla grossa ha senso se riesci ad accedere al router, se la falla fosse poter accedere ad una pagina di login non avrebbe generato tutto questo "panico".
Anche perché il login "in LAN" ha comunque i suoi ratelimit e roba varia, per cui boh.

edofullo ma si intende 443 aperta su fritzbox stesso oppure anche port forwarding su un’altra macchina in rete locale?

Chi non la porta 443 tra le "porte aperte per l'accesso da Internet" non deve fare alcun intervento?

LucaTheHacker non è detto sia necessario fare login per far danni (sul mio zyxel basta una get "particolare" per mandarlo ko)

D3de da quello che ho capito io è sufficiente una delle due, forse anche una DMZ

handymenny fantastico.. provvedo a chiuderla allora.. si sa mai.

PaulBW Che strano, nei 7530 che ho in controllo la gestione remota in HTTPS è su porta randomizzata e la 443 è chiusa.

ElCresh stavo guardando l'elenco delle porte in rete interna. Errore mio.

Attualmente sono tutte chiuse quelle verso internet

handymenny da quello che ho capito io è sufficiente una delle due, forse anche una DMZ

vabbè, questo è al livello "spegnilo e mettilo nell'armadio" più che "chiudi la porta"

Cal che non è male come idea

comunque credo che assicurarsi che la 443 sia closed e che l'accesso alla web ui da remoto sia disattivo dovrebbe essere sufficiente

Poi comunque non ci sono molto dettagli, facile scambiare fischi per fiaschi

edofullo ciao, alcune domande:
1) fonte?
2) si sa se AVM è già stata informata?
3) è possibile scrivere una guida per tutti per la verifica della vulnerabilità e per il relativo workaround?

Grazie!

Devidah 1) fonte?

La fonte inizialmente è stata indicata ma una volta venutone a conoscenza ha chiesto di essere rimossa.
Il che non ha molto senso, visto che ne ha discusso su un gruppo pubblico accessibile a tutti del quale però non riteniamo opportuno fare pubblicità per non inquinare troppo l'ambiente prettamente tecnico.

Devidah 2) si sa se AVM è già stata informata?

Certo, la conferma del problema viene da loro. Gli operatori hanno avvisato AVM qualche giorno fa.
Al momento nessuna comunicazione pubblica emanata direttamente dall'azienda ma solo rilanci da parte di gestori.

andreagdipaolo si spera che non sia stata pubblicata la procedura per sfruttare la falla. Sarebbe da pazzi, se non si è lasciato abbastanza tempo ad AVM per le patch del caso.

Devidah si spera che non sia stata pubblicata la procedura per sfruttare la falla

No

Ma il fix per problematiche di questo tipo dovrebbe arrivare tramite un aggiornamento software o ci sono altri modi con cui possono chiudere la falla?

CosimoP dipende dal dispositivo e dalla falla. A volte si disattiva il servizio fallato, come workaround in attesa della patch. A volte non ci sono rimedi temporanei e, nei casi peggiori (dispositivi o software vetusti ma ancora usati) non si può fare nulla, se non la dismissione.

andreagdipaolo La fonte inizialmente è stata indicata ma una volta venutone a conoscenza ha chiesto di essere rimossa.

E questo fa sorgere qualche dubbio sulla serietà della fonte... ad ogni modo: la falla pare essere grossa, sarà uscito qualcosa sui siti di informazione specialistici dell'IT no? io ho cercato ma l'unica cosa che trovo (fritz+porta443) risale a una vulnerabilità del 2016. Quindi sto sbagliando qualcosa.