Qualcosa sta compromettendo il funzionamento di alcuni router AVM Fritz!Box 7590

GusEdgestream · 2023-08-30T13:08:25+00:00

ErBlask di sicuro molti utenti li trovano generando richieste ai domini che servono i ddns di fritzbox per ricercare i record A registrati

di tutta sta faccenda non capisco come mai lo segnalano solo utenti italiani e cosa ci guadagna l'hacker di turno a fare questa attivita' ovvero rendere il fritbox inutilizzabile, di sicuro per togliersi l'ip dai log, pero' normalmente quando bucano un firewall tendono a prenderne il controllo con backdoor e /o aggiungersi come utente o aprire porte per riuscire ad entrare nella lan o utilizzarlo per un botnet che fa attacchi ddos. Nel 2023 gli hacker burloni non si trovano piu', si trovano solo hacker che 2 soldi se li vogliono sempre mettere in tasca.

Bisognerebbe tenere monitorati se nei black market underground metteranno in vendita questa vulnerabilita', ma penso che in AVM stiano gia' monitorando la cosa

Ddenisj · 2023-08-30T13:16:25+00:00

FERRARI81
Mi dispiace ma io faccio il programmatore e non sono esperto di reti.
So pero che se faccio https://etc... la chiamata arriva sulla 443.
Se arriva sulla 443 e mi possono buccare, per ora lascio parcheggiato il Ftitz.
Grazie

morfzeus · 2023-08-30T13:37:54+00:00

bortolotti80
ma se io creo il blocco della porta 443 con questi profili, perdo l'accesso alla webUI da LAN? (da WAN è gia chiusa).
per creare una lista mi chiede porta sorgente e porta di destinazione, cosa dovrei mettere?

inoltre ho scoperto di avere l'opzione "Modalità Stealth del firewall" disattivata. Conviene attivarla?

GusEdgestream · 2023-08-30T13:41:24+00:00

denisj So pero che se faccio https://etc... la chiamata arriva sulla 443.

arriva sempre sulla 443 perche' il browser quando nella url trova https fa sempre una connessione con destination port 443. Poi e' il virtualhost del fritzbox che decide cosa farti vedere e cosa no se e' abilitato il web management, ma questo e' nel codice del firmware, non e' come configurare un web service nginx o apache in cui decide tu a cosa puo' accedere nel filesystem, lo decidono loro e tu non lo sai

Di sicuro che se la 443 sulla wan la natti verso un altro ip della lan e non esponi la web management del fritzbox, stai lo stesso sicuro, tutte le vulnerabilita' al giorno sono sempre da layer 4 in su. Anche firewall che ho visto bucati hanno sempre sfruttato servizi web esposti dal firewall o cookie di sessione sempre legati alla parte web.

8847owu6yj3mlopayqcom · 2023-08-30T13:49:35+00:00

xblitz mettere su una struttura che assegni una porta random a ogni fritz dato in comodato d'uso è possibile ma complicato

Si chiamano costi d'impresa. Non ci si è obbligati con ricetta medica. Si accettano i ricavi e relativi guadagni e ci si accollano i costi e relativi rischi. A fare i ricchi con i soldi della banche son capaci in tanti...

Xxblitz · 2023-08-30T13:52:39+00:00

847owu6yj3mlopayqcom Si chiamano costi d'impresa. Non ci si è obbligati con ricetta medica. Si accettano i ricavi e relativi guadagni e ci si accollano i costi e relativi rischi. A fare i ricchi con i soldi della banche son capaci in tanti...

Ecco, a questo si può solo rispondere così:

del senno di poi son piene le fosse

e non è mia intenzione difendere nessun isp. E poi andreagdipaolo dice che l'isp non c'azzecca nulla.

bortolotti80 · 2023-08-30T13:59:13+00:00

denisj Molto probabilmente non è la porta 443 il problema, il problema è esporre l'accesso remoto sul 7590 (unico dispositivo di AVM che ha questo problema) verso internet, a cui poi ci si può accedere tramite

https://id.myfritz.net con 443
Oppure
https://id.myfritz.net:20000 se ho la porta 20000

Ad ora io non ho letto di persone colpite che non avevano l'accesso remoto attivo ed avevano solo un portforwarding della 443

8847owu6yj3mlopayqcom · 2023-08-30T13:59:59+00:00

morfzeus inoltre ho scoperto di avere l'opzione "Modalità Stealth del firewall" disattivata. Conviene attivarla?

Ogni opzione attiva per maggiore privacy e sicurezza se non vi sono ragioni sensate per disattivarla e meglio lasciarla attiva.

Filippo94 · 2023-08-30T14:00:12+00:00

morfzeus ma se io creo il blocco della porta 443 con questi profili, perdo l'accesso alla webUI da LAN?
denisj So pero che se faccio https://etc... la chiamata arriva sulla 443.

Da wan basta fare fritzblabla.net:numeroporta con numeroporta quello che si imposta nel modem per l’accesso

VLANTony · 2023-08-30T14:08:16+00:00

Buonasera,

giusto per informativa, in azienda abbiamo "perso" 3 FritzBox 7590 con FritzOS 7.29 (non aggiornati per un problema con il VoIP e siamo tornati indietro), remote management attivo e ACS proprietario.
Al momento riscontriamo credenziali PPP vuote e password utente sostituita.

Filippo94 · 2023-08-30T14:09:29+00:00

VLANTony quale ISP hai se si può dire? Avevi la 443 per accedere dall’esterno?

VLANTony · 2023-08-30T14:09:51+00:00

Filippo94 E' una linea EasyIP.

bortolotti80 · 2023-08-30T14:11:17+00:00

morfzeus

Si con quei profili blocchi solamente la 443 o la porta o il range di porte che desideri (sia TCP che UDP) ma lato LAN -> WAN, ogni regola poi va collegata ad ogni gruppo di utenti

Io non chiuderei la 443 lato LAN, il problema a mio parere è solo l'esposizione della WebUI verso Internet - WAN

La Modalità Stealth del Fritz se ricordo, fa in modo di scartare i pacchetti (es. ping) provenienti da Internet in modo da non bloccarli e farsi "vedere", puoi attivarla non cambia nulla, se si ha una porta aperta comunque risponde, il comportamento vuole simulare l'assenza di un dispositivo

Xxblitz · 2023-08-30T14:20:54+00:00

847owu6yj3mlopayqcom ma chi la ha tradotta l'interfaccia del fritz? secondo loro stealth è da intendersi come furbo... io mi domando: gli aerei stealth della US navy sono aerei astuti? non direi visto come sono "intelligenti" le bombe che sganciano.

Secondo me questa falla l'ha trovata un docente di italiano esasperato da come bistrattiamo la lingua. Questo spiega perché la cosa è circoscritta alla sola italia

GusEdgestream · 2023-08-30T14:31:29+00:00

Filippo94 Avevi la 443 per accedere dall’esterno?

si ce l'aveva perche' cita "remote management attivo"

VLANTony E' una linea EasyIP

quindi ip statico giusto? Non ho idea se easyip lo prevede. Per caso avevi attivato anche il servizio ddns di fritzbox?

VLANTony Al momento riscontriamo credenziali PPP vuote e password utente sostituita

i log locali li hanno svuotati? I log li dirottavi con syslog da un altra parte?

Filippo94 · 2023-08-30T14:34:41+00:00

GusEdgestream si ce l'aveva perche' cita "remote management attivo"

Beh puoi anche avere accesso remoto ma da una porta diversa

VLANTony · 2023-08-30T14:46:44+00:00

GusEdgestream
Abbiamo sia l'IP statico della CPE + subnet aggiuntiva.
Log locali svuotati e non abbiamo salvato log, purtroppo.

Xxblitz · 2023-08-30T14:53:17+00:00

cubilon quindi tu hai deciso che C'È una vulnerabilità, non fosse che che questa tua certezza non è supportata, al momento, da nulla.

prima di sparare boiate faresti meglio a leggere cosa ho scritto, soprattutto all'inizio... così ti accorgi di quanto hai pisciato fuori dal vaso.

Ccubilon · 2023-08-30T14:56:24+00:00

xblitz o non sai quel che hai scritto, o neppure lo capisci.
anzi, sicuro la seconda. figuriamoci se hai un’opinione sensata sul tema del thread.

Xxblitz · 2023-08-30T15:02:29+00:00

cubilon senti un po' tu... sei iscritto da 5 ore e solo per entrare a gamba tesa senza aver letto una discussione... non sarai mica lo stesso che ieri ha provato a spacciarsi per un altro utente (comprovato) del forum?!?