Qualcosa sta compromettendo il funzionamento di alcuni router AVM Fritz!Box 7590

Hhandymenny · 2023-08-26T21:07:21+00:00

LucaTheHacker non è detto sia necessario fare login per far danni (sul mio zyxel basta una get "particolare" per mandarlo ko)

D3de da quello che ho capito io è sufficiente una delle due, forse anche una DMZ

D3de · 2023-08-26T21:09:12+00:00

handymenny fantastico.. provvedo a chiuderla allora.. si sa mai.

ElCresh · 2023-08-26T21:11:00+00:00

PaulBW Che strano, nei 7530 che ho in controllo la gestione remota in HTTPS è su porta randomizzata e la 443 è chiusa.

PaulBW · 2023-08-26T21:12:49+00:00

ElCresh stavo guardando l'elenco delle porte in rete interna. Errore mio.

Attualmente sono tutte chiuse quelle verso internet

Ppascop96 · 2023-08-26T21:12:53+00:00

ElCresh anche a me è cosi

CCal · 2023-08-26T21:18:07+00:00

handymenny da quello che ho capito io è sufficiente una delle due, forse anche una DMZ

vabbè, questo è al livello "spegnilo e mettilo nell'armadio" più che "chiudi la porta"

Hhandymenny · 2023-08-26T21:23:51+00:00

Cal che non è male come idea

comunque credo che assicurarsi che la 443 sia closed e che l'accesso alla web ui da remoto sia disattivo dovrebbe essere sufficiente

Poi comunque non ci sono molto dettagli, facile scambiare fischi per fiaschi

DDevidah · 2023-08-26T21:27:04+00:00

edofullo ciao, alcune domande:
1) fonte?
2) si sa se AVM è già stata informata?
3) è possibile scrivere una guida per tutti per la verifica della vulnerabilità e per il relativo workaround?

Grazie!

andreagdipaolo · 2023-08-26T23:13:31+00:00

Devidah 1) fonte?

La fonte inizialmente è stata indicata ma una volta venutone a conoscenza ha chiesto di essere rimossa.
Il che non ha molto senso, visto che ne ha discusso su un gruppo pubblico accessibile a tutti del quale però non riteniamo opportuno fare pubblicità per non inquinare troppo l'ambiente prettamente tecnico.

Devidah 2) si sa se AVM è già stata informata?

Certo, la conferma del problema viene da loro. Gli operatori hanno avvisato AVM qualche giorno fa.
Al momento nessuna comunicazione pubblica emanata direttamente dall'azienda ma solo rilanci da parte di gestori.

DDevidah · 2023-08-26T23:24:06+00:00

andreagdipaolo si spera che non sia stata pubblicata la procedura per sfruttare la falla. Sarebbe da pazzi, se non si è lasciato abbastanza tempo ad AVM per le patch del caso.

andreagdipaolo · 2023-08-27T00:53:25+00:00

Devidah si spera che non sia stata pubblicata la procedura per sfruttare la falla

No

CosimoP · 2023-08-27T09:15:49+00:00

Ma il fix per problematiche di questo tipo dovrebbe arrivare tramite un aggiornamento software o ci sono altri modi con cui possono chiudere la falla?

DDevidah · 2023-08-27T09:25:51+00:00

CosimoP dipende dal dispositivo e dalla falla. A volte si disattiva il servizio fallato, come workaround in attesa della patch. A volte non ci sono rimedi temporanei e, nei casi peggiori (dispositivi o software vetusti ma ancora usati) non si può fare nulla, se non la dismissione.

Xxblitz · 2023-08-27T11:59:19+00:00

andreagdipaolo La fonte inizialmente è stata indicata ma una volta venutone a conoscenza ha chiesto di essere rimossa.

E questo fa sorgere qualche dubbio sulla serietà della fonte... ad ogni modo: la falla pare essere grossa, sarà uscito qualcosa sui siti di informazione specialistici dell'IT no? io ho cercato ma l'unica cosa che trovo (fritz+porta443) risale a una vulnerabilità del 2016. Quindi sto sbagliando qualcosa.

DDevidah · 2023-08-27T12:04:58+00:00

xblitz speculazione: è possibile che AVM abbia (più o meno gentilmente) chiesto di rimuovere le info, in attesa della patch.

andreagdipaolo · 2023-08-27T12:11:00+00:00

xblitz E questo fa sorgere qualche dubbio sulla serietà della fonte

No, direi proprio che è molto seria.
Semplicemente potrebbe non voler essere direttamente associato alla news (scelta rispettabile), ma come dicevo prima l'ha discussa su un gruppo pubblico, quindi a meno che non cancelli i messaggi anche lì è sempre individuabile da chiunque sappia dove trovarla.

Devidah è possibile che AVM abbia (più o meno gentilmente) chiesto di rimuovere le info

Non è stato rimosso nulla, per quanto io ne sappia. Ho indicato in un messaggio precedente come mai preferiamo non indicare il nome del gruppo, ma chi è del settore sa di cosa stiamo parlando.

TTechnetium · 2023-08-27T12:13:43+00:00

xblitz
Se si è comportato in modo "etico" chi ha scoperto la falla ha prima contattato AVM... poi rilasciano informazioni alla stampa/sui social etc. solo se c'è un modo per tamponare il problema e anche per farsi pubblicità-attribuirsi la paternità della scoperta/ricerca (vedi le varie aziende di sicurezza).
Dopo la patch rilasciano il "proof-of-concept".

CCal · 2023-08-27T12:18:29+00:00

andreagdipaolo la cosa un po' strana è che la fonte sia una soltanto.

Xxblitz · 2023-08-27T12:20:05+00:00

Technetium Se si è comportato in modo "etico" chi ha scoperto la falla ha prima contattato AVM

poi ha subito delle pressioni da AVM e s'è ca***o addosso. Comunque non mi pare molto etico insabbiare la cosa.

andreagdipaolo · 2023-08-27T12:22:31+00:00

Cal la cosa un po' strana è che la fonte sia una soltanto.

Non è una sola, ho avuto modo di ottenere conferma anche da altri operatori.
Se ne parliamo è perché siamo sicuri che non sia finto.

xblitz Comunque non mi pare molto etico insabbiare la cosa.

Scusa, ma chi ha insabbiato cosa? Non hanno mica chiesto di cancellare il thread. Non capisco per cosa ti stai indignando. Sei al limite del complotto.

L'unica cosa che andrebbe insabbiata sarebbero le istruzioni per lo sfruttamento, che però per fortuna non sono ancora state rese note e spero non lo siano prima della pubblicazione del fw correttivo.