Qualcosa sta compromettendo il funzionamento di alcuni router AVM Fritz!Box 7590
denisj Questo perché devi agire sulla configurazione del personal server. Un certificato non è mai legato ad una porta. Ma è la configurazione lato server che "crea questo legame" (licenza poetica).
Bisognerebbe vedere anche se ti porti la "chain" del certificato dietro o meno...ma qui divergiamo su altri temi
In all cases remote access to the FRITZ!Box user interface via https was found enabled, using the https well known port 443.
In all cases this https access was set up by the ISP in order to administrate the router
We are not aware of any FRITZ!Box models besides FRITZ!Box 7590 that are affected by the issue.
Non avevo letto con attenzione come ho fatto ora oppure mi era sfuggito ma da quanto riporto sopra, che si legge nel comunicato AVM al primo messaggio, se la lingua ha ancora un senso sia nell'idioma nativo che tradotta, ne risulta che :
"In tutti i casi è stato trovato abilitato l'accesso remoto all'interfaccia utente del FRITZ!Box tramite https, utilizzando la porta https 443.
In tutti i casi questo accesso https è stato impostato dall'ISP per amministrare il router
Non siamo a conoscenza di altri modelli di FRITZ!Box oltre al FRITZ!Box 7590 interessati dal problema."
Se è così, almeno sino a smentita di alcuna delle parti in causa, tutta o buona parte di quanto si legge ha poco o punto senso. In particolare negli interventi che sembra siano rimasti dormienti in attesa di dell'istante propizio a dirne di ogni ad AVM e far sentire degli emeriti imbecilli (ad es. dove si riporta "ognuno poi è libero di spendere i suoi soldi come gli pare") coloro che senza il non richiesto consiglio li hanno utilizzati per un Fritz!Box 7590.
Io sono sicuro che tutti i router consumer (e non solo) siano affetti da vulnerabilità più o meno eclatanti. Altrimenti nessuno di questi riceverebbe patch e aggiornamenti e sarebbero tutti perfetti. La differenza è che su questo caso specifico ci si sta ricamando un caso nazionale (valutiamo anche il danno che deriva nel caso specifico, mi pare piuttosto limitato).
Inoltre siamo sicuri che per tutti gli altri modelli/produttori venga divulgata un'informativa ufficiale per ogni singola vulnerabilità identificata?
- Modificato
847owu6yj3mlopayqcom considera che è un comunicato per ISP che telegestiscono i modem fritz, quindi è anche normale che essendo "modem telegestiti da ISP" la maggior parte delle impostazioni sia stata configurata da loro.
In questa discussione, ma anche sui social trovi testimonianze di utenti che hanno abilitato l'accesso remoto in autonomia e che sembrano essere state vittima dello stesso disservizio (o come lo si vuole chiamare). Anzi io li inviterei a contattare AVM per allargare il campione di modem analizzati.
847owu6yj3mlopayqcom Se è così, almeno sino a smentita di alcuna delle parti in causa, tutta o buona parte di quanto si legge ha poco o punto senso. In particolare negli interventi che sembra siano rimasti dormienti in attesa di dell'istante propizio a dirne di ogni ad AVM e far sentire degli emeriti imbecilli (ad es. dove si riporta "ognuno poi è libero di spendere i suoi soldi come gli pare") coloro che senza il non richiesto consiglio li hanno utilizzati per un Fritz!Box 7590.
Se è una critica, non troppo velata al sottoscritto, caschi male: io parlo di una cosa "a posteriori" di questa vicenda. Così come mi guardo bene da dire che la colpa sia dell'isp di turno che ha abilitato la gestione remota sulla 443: mettere su una struttura che assegni una porta random a ogni fritz dato in comodato d'uso è possibile ma complicato.
- Modificato
denisj Posso farlo ma se si usa un altra porta il certificato non risulta piu valido.
Non è vero, il certificato certifica solo l'FQDN, puoi usarlo su tutte le porte che vuoi, anche contemporaneamente. (E infatti mica si usano solo per https, ma anche per tutti gli altri protocolli over tls: imap, smtp, ftp, etc, etc...)
L'unica accortezza è non rompere la validazione (ie: se usi ACME via tls-alpn-01 allora sì, ti serve 443 per forza)
- Modificato
847owu6yj3mlopayqcom In particolare negli interventi che sembra siano rimasti dormienti in attesa di dell'istante propizio a dirne di ogni ad AVM e far sentire degli emeriti imbecilli (ad es. dove si riporta "ognuno poi è libero di spendere i suoi soldi come gli pare") coloro che senza il non richiesto consiglio li hanno utilizzati per un Fritz!Box 7590.
ben detto @847owu6yj3mlopayqcom 
handymenny utenti che hanno abilitato l'accesso remoto in autonomia e che sembrano essere state vittima dello stesso disservizio
Secondo il mio modesto parere che vale meno di -> 0 <- entrano dai Server del Myfritz abilitato.
- Modificato
ErBlask di sicuro molti utenti li trovano generando richieste ai domini che servono i ddns di fritzbox per ricercare i record A registrati
di tutta sta faccenda non capisco come mai lo segnalano solo utenti italiani e cosa ci guadagna l'hacker di turno a fare questa attivita' ovvero rendere il fritbox inutilizzabile, di sicuro per togliersi l'ip dai log, pero' normalmente quando bucano un firewall tendono a prenderne il controllo con backdoor e /o aggiungersi come utente o aprire porte per riuscire ad entrare nella lan o utilizzarlo per un botnet che fa attacchi ddos. Nel 2023 gli hacker burloni non si trovano piu', si trovano solo hacker che 2 soldi se li vogliono sempre mettere in tasca.
Bisognerebbe tenere monitorati se nei black market underground metteranno in vendita questa vulnerabilita', ma penso che in AVM stiano gia' monitorando la cosa
FERRARI81
Mi dispiace ma io faccio il programmatore e non sono esperto di reti.
So pero che se faccio https://etc... la chiamata arriva sulla 443.
Se arriva sulla 443 e mi possono buccare, per ora lascio parcheggiato il Ftitz.
Grazie
- Modificato
bortolotti80
ma se io creo il blocco della porta 443 con questi profili, perdo l'accesso alla webUI da LAN? (da WAN è gia chiusa).
per creare una lista mi chiede porta sorgente e porta di destinazione, cosa dovrei mettere?
inoltre ho scoperto di avere l'opzione "Modalità Stealth del firewall" disattivata. Conviene attivarla?
denisj So pero che se faccio https://etc... la chiamata arriva sulla 443.
arriva sempre sulla 443 perche' il browser quando nella url trova https fa sempre una connessione con destination port 443. Poi e' il virtualhost del fritzbox che decide cosa farti vedere e cosa no se e' abilitato il web management, ma questo e' nel codice del firmware, non e' come configurare un web service nginx o apache in cui decide tu a cosa puo' accedere nel filesystem, lo decidono loro e tu non lo sai
Di sicuro che se la 443 sulla wan la natti verso un altro ip della lan e non esponi la web management del fritzbox, stai lo stesso sicuro, tutte le vulnerabilita' al giorno sono sempre da layer 4 in su. Anche firewall che ho visto bucati hanno sempre sfruttato servizi web esposti dal firewall o cookie di sessione sempre legati alla parte web.
xblitz mettere su una struttura che assegni una porta random a ogni fritz dato in comodato d'uso è possibile ma complicato
Si chiamano costi d'impresa. Non ci si è obbligati con ricetta medica. Si accettano i ricavi e relativi guadagni e ci si accollano i costi e relativi rischi. A fare i ricchi con i soldi della banche son capaci in tanti...
847owu6yj3mlopayqcom Si chiamano costi d'impresa. Non ci si è obbligati con ricetta medica. Si accettano i ricavi e relativi guadagni e ci si accollano i costi e relativi rischi. A fare i ricchi con i soldi della banche son capaci in tanti...
Ecco, a questo si può solo rispondere così:
del senno di poi son piene le fosse
e non è mia intenzione difendere nessun isp. E poi andreagdipaolo dice che l'isp non c'azzecca nulla.
denisj Molto probabilmente non è la porta 443 il problema, il problema è esporre l'accesso remoto sul 7590 (unico dispositivo di AVM che ha questo problema) verso internet, a cui poi ci si può accedere tramite
https://id.myfritz.net con 443
Oppure
https://id.myfritz.net:20000 se ho la porta 20000
Ad ora io non ho letto di persone colpite che non avevano l'accesso remoto attivo ed avevano solo un portforwarding della 443
morfzeus inoltre ho scoperto di avere l'opzione "Modalità Stealth del firewall" disattivata. Conviene attivarla?
Ogni opzione attiva per maggiore privacy e sicurezza se non vi sono ragioni sensate per disattivarla e meglio lasciarla attiva.
morfzeus ma se io creo il blocco della porta 443 con questi profili, perdo l'accesso alla webUI da LAN?
denisj So pero che se faccio https://etc... la chiamata arriva sulla 443.
Da wan basta fare fritzblabla.net:numeroporta con numeroporta quello che si imposta nel modem per l’accesso
Buonasera,
giusto per informativa, in azienda abbiamo "perso" 3 FritzBox 7590 con FritzOS 7.29 (non aggiornati per un problema con il VoIP e siamo tornati indietro), remote management attivo e ACS proprietario.
Al momento riscontriamo credenziali PPP vuote e password utente sostituita.
