Qualcosa sta compromettendo il funzionamento di alcuni router AVM Fritz!Box 7590

Hhandymenny · 2023-08-30T12:36:06+00:00

847owu6yj3mlopayqcom considera che è un comunicato per ISP che telegestiscono i modem fritz, quindi è anche normale che essendo "modem telegestiti da ISP" la maggior parte delle impostazioni sia stata configurata da loro.
In questa discussione, ma anche sui social trovi testimonianze di utenti che hanno abilitato l'accesso remoto in autonomia e che sembrano essere state vittima dello stesso disservizio (o come lo si vuole chiamare). Anzi io li inviterei a contattare AVM per allargare il campione di modem analizzati.

Xxblitz · 2023-08-30T12:37:26+00:00

847owu6yj3mlopayqcom Se è così, almeno sino a smentita di alcuna delle parti in causa, tutta o buona parte di quanto si legge ha poco o punto senso. In particolare negli interventi che sembra siano rimasti dormienti in attesa di dell'istante propizio a dirne di ogni ad AVM e far sentire degli emeriti imbecilli (ad es. dove si riporta "ognuno poi è libero di spendere i suoi soldi come gli pare") coloro che senza il non richiesto consiglio li hanno utilizzati per un Fritz!Box 7590.

Se è una critica, non troppo velata al sottoscritto, caschi male: io parlo di una cosa "a posteriori" di questa vicenda. Così come mi guardo bene da dire che la colpa sia dell'isp di turno che ha abilitato la gestione remota sulla 443: mettere su una struttura che assegni una porta random a ogni fritz dato in comodato d'uso è possibile ma complicato.

CCal · 2023-08-30T12:42:40+00:00

denisj Posso farlo ma se si usa un altra porta il certificato non risulta piu valido.

Non è vero, il certificato certifica solo l'FQDN, puoi usarlo su tutte le porte che vuoi, anche contemporaneamente. (E infatti mica si usano solo per https, ma anche per tutti gli altri protocolli over tls: imap, smtp, ftp, etc, etc...)

L'unica accortezza è non rompere la validazione (ie: se usi ACME via tls-alpn-01 allora sì, ti serve 443 per forza)

ErBlask · 2023-08-30T12:48:21+00:00

847owu6yj3mlopayqcom In particolare negli interventi che sembra siano rimasti dormienti in attesa di dell'istante propizio a dirne di ogni ad AVM e far sentire degli emeriti imbecilli (ad es. dove si riporta "ognuno poi è libero di spendere i suoi soldi come gli pare") coloro che senza il non richiesto consiglio li hanno utilizzati per un Fritz!Box 7590.

ben detto @847owu6yj3mlopayqcom

handymenny utenti che hanno abilitato l'accesso remoto in autonomia e che sembrano essere state vittima dello stesso disservizio

Secondo il mio modesto parere che vale meno di -> 0 <- entrano dai Server del Myfritz abilitato.

GusEdgestream · 2023-08-30T13:08:25+00:00

ErBlask di sicuro molti utenti li trovano generando richieste ai domini che servono i ddns di fritzbox per ricercare i record A registrati

di tutta sta faccenda non capisco come mai lo segnalano solo utenti italiani e cosa ci guadagna l'hacker di turno a fare questa attivita' ovvero rendere il fritbox inutilizzabile, di sicuro per togliersi l'ip dai log, pero' normalmente quando bucano un firewall tendono a prenderne il controllo con backdoor e /o aggiungersi come utente o aprire porte per riuscire ad entrare nella lan o utilizzarlo per un botnet che fa attacchi ddos. Nel 2023 gli hacker burloni non si trovano piu', si trovano solo hacker che 2 soldi se li vogliono sempre mettere in tasca.

Bisognerebbe tenere monitorati se nei black market underground metteranno in vendita questa vulnerabilita', ma penso che in AVM stiano gia' monitorando la cosa

Ddenisj · 2023-08-30T13:16:25+00:00

FERRARI81
Mi dispiace ma io faccio il programmatore e non sono esperto di reti.
So pero che se faccio https://etc... la chiamata arriva sulla 443.
Se arriva sulla 443 e mi possono buccare, per ora lascio parcheggiato il Ftitz.
Grazie

morfzeus · 2023-08-30T13:37:54+00:00

bortolotti80
ma se io creo il blocco della porta 443 con questi profili, perdo l'accesso alla webUI da LAN? (da WAN è gia chiusa).
per creare una lista mi chiede porta sorgente e porta di destinazione, cosa dovrei mettere?

inoltre ho scoperto di avere l'opzione "Modalità Stealth del firewall" disattivata. Conviene attivarla?

GusEdgestream · 2023-08-30T13:41:24+00:00

denisj So pero che se faccio https://etc... la chiamata arriva sulla 443.

arriva sempre sulla 443 perche' il browser quando nella url trova https fa sempre una connessione con destination port 443. Poi e' il virtualhost del fritzbox che decide cosa farti vedere e cosa no se e' abilitato il web management, ma questo e' nel codice del firmware, non e' come configurare un web service nginx o apache in cui decide tu a cosa puo' accedere nel filesystem, lo decidono loro e tu non lo sai

Di sicuro che se la 443 sulla wan la natti verso un altro ip della lan e non esponi la web management del fritzbox, stai lo stesso sicuro, tutte le vulnerabilita' al giorno sono sempre da layer 4 in su. Anche firewall che ho visto bucati hanno sempre sfruttato servizi web esposti dal firewall o cookie di sessione sempre legati alla parte web.

8847owu6yj3mlopayqcom · 2023-08-30T13:49:35+00:00

xblitz mettere su una struttura che assegni una porta random a ogni fritz dato in comodato d'uso è possibile ma complicato

Si chiamano costi d'impresa. Non ci si è obbligati con ricetta medica. Si accettano i ricavi e relativi guadagni e ci si accollano i costi e relativi rischi. A fare i ricchi con i soldi della banche son capaci in tanti...

Xxblitz · 2023-08-30T13:52:39+00:00

847owu6yj3mlopayqcom Si chiamano costi d'impresa. Non ci si è obbligati con ricetta medica. Si accettano i ricavi e relativi guadagni e ci si accollano i costi e relativi rischi. A fare i ricchi con i soldi della banche son capaci in tanti...

Ecco, a questo si può solo rispondere così:

del senno di poi son piene le fosse

e non è mia intenzione difendere nessun isp. E poi andreagdipaolo dice che l'isp non c'azzecca nulla.

bortolotti80 · 2023-08-30T13:59:13+00:00

denisj Molto probabilmente non è la porta 443 il problema, il problema è esporre l'accesso remoto sul 7590 (unico dispositivo di AVM che ha questo problema) verso internet, a cui poi ci si può accedere tramite

https://id.myfritz.net con 443
Oppure
https://id.myfritz.net:20000 se ho la porta 20000

Ad ora io non ho letto di persone colpite che non avevano l'accesso remoto attivo ed avevano solo un portforwarding della 443

8847owu6yj3mlopayqcom · 2023-08-30T13:59:59+00:00

morfzeus inoltre ho scoperto di avere l'opzione "Modalità Stealth del firewall" disattivata. Conviene attivarla?

Ogni opzione attiva per maggiore privacy e sicurezza se non vi sono ragioni sensate per disattivarla e meglio lasciarla attiva.

Filippo94 · 2023-08-30T14:00:12+00:00

morfzeus ma se io creo il blocco della porta 443 con questi profili, perdo l'accesso alla webUI da LAN?
denisj So pero che se faccio https://etc... la chiamata arriva sulla 443.

Da wan basta fare fritzblabla.net:numeroporta con numeroporta quello che si imposta nel modem per l’accesso

VLANTony · 2023-08-30T14:08:16+00:00

Buonasera,

giusto per informativa, in azienda abbiamo "perso" 3 FritzBox 7590 con FritzOS 7.29 (non aggiornati per un problema con il VoIP e siamo tornati indietro), remote management attivo e ACS proprietario.
Al momento riscontriamo credenziali PPP vuote e password utente sostituita.

Filippo94 · 2023-08-30T14:09:29+00:00

VLANTony quale ISP hai se si può dire? Avevi la 443 per accedere dall’esterno?

VLANTony · 2023-08-30T14:09:51+00:00

Filippo94 E' una linea EasyIP.

bortolotti80 · 2023-08-30T14:11:17+00:00

morfzeus

Si con quei profili blocchi solamente la 443 o la porta o il range di porte che desideri (sia TCP che UDP) ma lato LAN -> WAN, ogni regola poi va collegata ad ogni gruppo di utenti

Io non chiuderei la 443 lato LAN, il problema a mio parere è solo l'esposizione della WebUI verso Internet - WAN

La Modalità Stealth del Fritz se ricordo, fa in modo di scartare i pacchetti (es. ping) provenienti da Internet in modo da non bloccarli e farsi "vedere", puoi attivarla non cambia nulla, se si ha una porta aperta comunque risponde, il comportamento vuole simulare l'assenza di un dispositivo

Xxblitz · 2023-08-30T14:20:54+00:00

847owu6yj3mlopayqcom ma chi la ha tradotta l'interfaccia del fritz? secondo loro stealth è da intendersi come furbo... io mi domando: gli aerei stealth della US navy sono aerei astuti? non direi visto come sono "intelligenti" le bombe che sganciano.

Secondo me questa falla l'ha trovata un docente di italiano esasperato da come bistrattiamo la lingua. Questo spiega perché la cosa è circoscritta alla sola italia

GusEdgestream · 2023-08-30T14:31:29+00:00

Filippo94 Avevi la 443 per accedere dall’esterno?

si ce l'aveva perche' cita "remote management attivo"

VLANTony E' una linea EasyIP

quindi ip statico giusto? Non ho idea se easyip lo prevede. Per caso avevi attivato anche il servizio ddns di fritzbox?

VLANTony Al momento riscontriamo credenziali PPP vuote e password utente sostituita

i log locali li hanno svuotati? I log li dirottavi con syslog da un altra parte?

Filippo94 · 2023-08-30T14:34:41+00:00

GusEdgestream si ce l'aveva perche' cita "remote management attivo"

Beh puoi anche avere accesso remoto ma da una porta diversa