Qualcosa sta compromettendo il funzionamento di alcuni router AVM Fritz!Box 7590

Hhandymenny · 2023-08-30T10:17:07+00:00

denisj le soluzioni sono due:

riavviare il tutto e accedere con le credenziali di fabbrica (quelle sull'etichetta sotto il fritzbox)
ripristinare il FritzBox alle impostazioni di fabbrica

Quale soluzione applicare sembra dipendere dalla versione di fritz os installata sul dispositivo, quelle più recenti sembrano "reagire" creando un nuovo account con le credenziali di default.

Da precisare: queste sono le soluzioni per farlo tornare a funzionare come prima, poi se ci sia altro di compromesso non si sa.. Per proteggerti da altro, puoi solo staccargli la spina e tenerlo in un cassetto.

Ddenisj · 2023-08-30T10:20:47+00:00

handymenny
Grazie per la risposta... infatti a me serve la 443 per dei servizi che uso nella mia lan
Se lo rimetto in pista, me lo hackano un altra volta.
Mi rode il fatto che il wifi a casa mia e fatto con 4 pezzi di Fritz.

Sto pensando sti giorni se cambiare il router e il wifi mesh oppure no.
Aspetto ancora fine settimana, se non trovano la soluzione, semplicemente li abbandono...

Grazie ancora
Denis

PaulBW · 2023-08-30T10:21:58+00:00

denisj non puoi cambiare il numero della porta?

Ddenisj · 2023-08-30T10:23:51+00:00

PaulBW
Eh no... perche l'https come protocolo lavora sulla 443
Non mi serve l'accesso remoto al router... mi serve la 443 per accedere ai vari servizi nella lan
tipo: https://nomeservizio.miosito.com

PaulBW · 2023-08-30T10:24:56+00:00

denisj come non detto, non sono molto esperto di queste cose, pardon.

Ddenisj · 2023-08-30T10:27:49+00:00

PaulBW
Ma figurati, nessun problema
Si tratta semplicemente di servizi certificati, e quindi hanno bisogno della porta 443 per funzionare.
Quindi, per come la vedo io e un problema quasi grave, se aprendo la 443 ti possono hackare.
Mi sa che e cosi che mi hanno "fregato"

Hhandymenny · 2023-08-30T10:29:51+00:00

denisj potresti valutare una VPN o un proxy come cloudflare tunnel. Comunque non è detto che basti esporre la porta 443 per venir hackerati, io proverei a tenerla aperta con accesso remoto e myfritz disattivi.

Ddenisj · 2023-08-30T10:32:29+00:00

handymenny
Se fosse a casa provere... ma sono fuori dall'Italia e quando e successa sta cosa, ho mandato un mio amico a casa mia a sostituire il route con quello di default de la vodafone.
Ho messo in pista i servizi principali e per ora l'indispensabile funziona.

Se rimetto in pista il Fritz e me lo hackano ancora, devo rifare tutto il giro da capo.
Aspetto ancora con calma fino al mio ritorno in Ita.

FERRARI81 · 2023-08-30T10:34:45+00:00

denisj Ma il tuo server non può esporre su un'altra porta? Quale usi? Solo come server web?

Ddenisj · 2023-08-30T10:37:21+00:00

FERRARI81
Posso farlo ma se si usa un altra porta il certificato non risulta piu valido.
Uso solo file server, domotica, videocamere etc...
Ma va bene cosi... tanto prima o poi dovevo passare a qualcosa di piu valido del Fritz... forse e il momento giusto :-)

FERRARI81 · 2023-08-30T10:49:47+00:00

denisj Questo perché devi agire sulla configurazione del personal server. Un certificato non è mai legato ad una porta. Ma è la configurazione lato server che "crea questo legame" (licenza poetica).
Bisognerebbe vedere anche se ti porti la "chain" del certificato dietro o meno...ma qui divergiamo su altri temi

8847owu6yj3mlopayqcom · 2023-08-30T12:30:47+00:00

In all cases remote access to the FRITZ!Box user interface via https was found enabled, using the https well known port 443.
In all cases this https access was set up by the ISP in order to administrate the router
We are not aware of any FRITZ!Box models besides FRITZ!Box 7590 that are affected by the issue.

Non avevo letto con attenzione come ho fatto ora oppure mi era sfuggito ma da quanto riporto sopra, che si legge nel comunicato AVM al primo messaggio, se la lingua ha ancora un senso sia nell'idioma nativo che tradotta, ne risulta che :

"In tutti i casi è stato trovato abilitato l'accesso remoto all'interfaccia utente del FRITZ!Box tramite https, utilizzando la porta https 443.
In tutti i casi questo accesso https è stato impostato dall'ISP per amministrare il router
Non siamo a conoscenza di altri modelli di FRITZ!Box oltre al FRITZ!Box 7590 interessati dal problema."

Se è così, almeno sino a smentita di alcuna delle parti in causa, tutta o buona parte di quanto si legge ha poco o punto senso. In particolare negli interventi che sembra siano rimasti dormienti in attesa di dell'istante propizio a dirne di ogni ad AVM e far sentire degli emeriti imbecilli (ad es. dove si riporta "ognuno poi è libero di spendere i suoi soldi come gli pare") coloro che senza il non richiesto consiglio li hanno utilizzati per un Fritz!Box 7590.

Esperanza · 2023-08-30T12:34:08+00:00

Io sono sicuro che tutti i router consumer (e non solo) siano affetti da vulnerabilità più o meno eclatanti. Altrimenti nessuno di questi riceverebbe patch e aggiornamenti e sarebbero tutti perfetti. La differenza è che su questo caso specifico ci si sta ricamando un caso nazionale (valutiamo anche il danno che deriva nel caso specifico, mi pare piuttosto limitato).
Inoltre siamo sicuri che per tutti gli altri modelli/produttori venga divulgata un'informativa ufficiale per ogni singola vulnerabilità identificata?

Hhandymenny · 2023-08-30T12:36:06+00:00

847owu6yj3mlopayqcom considera che è un comunicato per ISP che telegestiscono i modem fritz, quindi è anche normale che essendo "modem telegestiti da ISP" la maggior parte delle impostazioni sia stata configurata da loro.
In questa discussione, ma anche sui social trovi testimonianze di utenti che hanno abilitato l'accesso remoto in autonomia e che sembrano essere state vittima dello stesso disservizio (o come lo si vuole chiamare). Anzi io li inviterei a contattare AVM per allargare il campione di modem analizzati.

Xxblitz · 2023-08-30T12:37:26+00:00

847owu6yj3mlopayqcom Se è così, almeno sino a smentita di alcuna delle parti in causa, tutta o buona parte di quanto si legge ha poco o punto senso. In particolare negli interventi che sembra siano rimasti dormienti in attesa di dell'istante propizio a dirne di ogni ad AVM e far sentire degli emeriti imbecilli (ad es. dove si riporta "ognuno poi è libero di spendere i suoi soldi come gli pare") coloro che senza il non richiesto consiglio li hanno utilizzati per un Fritz!Box 7590.

Se è una critica, non troppo velata al sottoscritto, caschi male: io parlo di una cosa "a posteriori" di questa vicenda. Così come mi guardo bene da dire che la colpa sia dell'isp di turno che ha abilitato la gestione remota sulla 443: mettere su una struttura che assegni una porta random a ogni fritz dato in comodato d'uso è possibile ma complicato.

CCal · 2023-08-30T12:42:40+00:00

denisj Posso farlo ma se si usa un altra porta il certificato non risulta piu valido.

Non è vero, il certificato certifica solo l'FQDN, puoi usarlo su tutte le porte che vuoi, anche contemporaneamente. (E infatti mica si usano solo per https, ma anche per tutti gli altri protocolli over tls: imap, smtp, ftp, etc, etc...)

L'unica accortezza è non rompere la validazione (ie: se usi ACME via tls-alpn-01 allora sì, ti serve 443 per forza)

ErBlask · 2023-08-30T12:48:21+00:00

847owu6yj3mlopayqcom In particolare negli interventi che sembra siano rimasti dormienti in attesa di dell'istante propizio a dirne di ogni ad AVM e far sentire degli emeriti imbecilli (ad es. dove si riporta "ognuno poi è libero di spendere i suoi soldi come gli pare") coloro che senza il non richiesto consiglio li hanno utilizzati per un Fritz!Box 7590.

ben detto @847owu6yj3mlopayqcom

handymenny utenti che hanno abilitato l'accesso remoto in autonomia e che sembrano essere state vittima dello stesso disservizio

Secondo il mio modesto parere che vale meno di -> 0 <- entrano dai Server del Myfritz abilitato.

GusEdgestream · 2023-08-30T13:08:25+00:00

ErBlask di sicuro molti utenti li trovano generando richieste ai domini che servono i ddns di fritzbox per ricercare i record A registrati

di tutta sta faccenda non capisco come mai lo segnalano solo utenti italiani e cosa ci guadagna l'hacker di turno a fare questa attivita' ovvero rendere il fritbox inutilizzabile, di sicuro per togliersi l'ip dai log, pero' normalmente quando bucano un firewall tendono a prenderne il controllo con backdoor e /o aggiungersi come utente o aprire porte per riuscire ad entrare nella lan o utilizzarlo per un botnet che fa attacchi ddos. Nel 2023 gli hacker burloni non si trovano piu', si trovano solo hacker che 2 soldi se li vogliono sempre mettere in tasca.

Bisognerebbe tenere monitorati se nei black market underground metteranno in vendita questa vulnerabilita', ma penso che in AVM stiano gia' monitorando la cosa

Ddenisj · 2023-08-30T13:16:25+00:00

FERRARI81
Mi dispiace ma io faccio il programmatore e non sono esperto di reti.
So pero che se faccio https://etc... la chiamata arriva sulla 443.
Se arriva sulla 443 e mi possono buccare, per ora lascio parcheggiato il Ftitz.
Grazie

morfzeus · 2023-08-30T13:37:54+00:00

bortolotti80
ma se io creo il blocco della porta 443 con questi profili, perdo l'accesso alla webUI da LAN? (da WAN è gia chiusa).
per creare una lista mi chiede porta sorgente e porta di destinazione, cosa dovrei mettere?

inoltre ho scoperto di avere l'opzione "Modalità Stealth del firewall" disattivata. Conviene attivarla?