Qualcosa sta compromettendo il funzionamento di alcuni router AVM Fritz!Box 7590
handymenny da quello che ho capito io è sufficiente una delle due, forse anche una DMZ
vabbè, questo è al livello "spegnilo e mettilo nell'armadio" più che "chiudi la porta"
Cal che non è male come idea 
comunque credo che assicurarsi che la 443 sia closed e che l'accesso alla web ui da remoto sia disattivo dovrebbe essere sufficiente
Poi comunque non ci sono molto dettagli, facile scambiare fischi per fiaschi
Devidah 1) fonte?
La fonte inizialmente è stata indicata ma una volta venutone a conoscenza ha chiesto di essere rimossa.
Il che non ha molto senso, visto che ne ha discusso su un gruppo pubblico accessibile a tutti del quale però non riteniamo opportuno fare pubblicità per non inquinare troppo l'ambiente prettamente tecnico.
Devidah 2) si sa se AVM è già stata informata?
Certo, la conferma del problema viene da loro. Gli operatori hanno avvisato AVM qualche giorno fa.
Al momento nessuna comunicazione pubblica emanata direttamente dall'azienda ma solo rilanci da parte di gestori.
andreagdipaolo si spera che non sia stata pubblicata la procedura per sfruttare la falla. Sarebbe da pazzi, se non si è lasciato abbastanza tempo ad AVM per le patch del caso.
Devidah si spera che non sia stata pubblicata la procedura per sfruttare la falla
No
Ma il fix per problematiche di questo tipo dovrebbe arrivare tramite un aggiornamento software o ci sono altri modi con cui possono chiudere la falla?
andreagdipaolo La fonte inizialmente è stata indicata ma una volta venutone a conoscenza ha chiesto di essere rimossa.
E questo fa sorgere qualche dubbio sulla serietà della fonte... ad ogni modo: la falla pare essere grossa, sarà uscito qualcosa sui siti di informazione specialistici dell'IT no? io ho cercato ma l'unica cosa che trovo (fritz+porta443) risale a una vulnerabilità del 2016. Quindi sto sbagliando qualcosa.
xblitz E questo fa sorgere qualche dubbio sulla serietà della fonte
No, direi proprio che è molto seria.
Semplicemente potrebbe non voler essere direttamente associato alla news (scelta rispettabile), ma come dicevo prima l'ha discussa su un gruppo pubblico, quindi a meno che non cancelli i messaggi anche lì è sempre individuabile da chiunque sappia dove trovarla.
Devidah è possibile che AVM abbia (più o meno gentilmente) chiesto di rimuovere le info
Non è stato rimosso nulla, per quanto io ne sappia. Ho indicato in un messaggio precedente come mai preferiamo non indicare il nome del gruppo, ma chi è del settore sa di cosa stiamo parlando.
xblitz
Se si è comportato in modo "etico" chi ha scoperto la falla ha prima contattato AVM... poi rilasciano informazioni alla stampa/sui social etc. solo se c'è un modo per tamponare il problema e anche per farsi pubblicità-attribuirsi la paternità della scoperta/ricerca (vedi le varie aziende di sicurezza).
Dopo la patch rilasciano il "proof-of-concept".
andreagdipaolo la cosa un po' strana è che la fonte sia una soltanto.
Technetium Se si è comportato in modo "etico" chi ha scoperto la falla ha prima contattato AVM
poi ha subito delle pressioni da AVM e s'è ca***o addosso. Comunque non mi pare molto etico insabbiare la cosa.
- Modificato
Cal la cosa un po' strana è che la fonte sia una soltanto.
Non è una sola, ho avuto modo di ottenere conferma anche da altri operatori.
Se ne parliamo è perché siamo sicuri che non sia finto.
xblitz Comunque non mi pare molto etico insabbiare la cosa.
Scusa, ma chi ha insabbiato cosa? Non hanno mica chiesto di cancellare il thread. Non capisco per cosa ti stai indignando. Sei al limite del complotto.
L'unica cosa che andrebbe insabbiata sarebbero le istruzioni per lo sfruttamento, che però per fortuna non sono ancora state rese note e spero non lo siano prima della pubblicazione del fw correttivo.
Ma qui non si tratta di un ricercatore che ha scoperto una falla.
In pratica da quello che ho capito io (ovvero interpretazione mia):
un operatore si è trovato con i Fritzbox dei suoi clienti con la configurazione modificata (credenziali di login e ppp modificate), confrontandosi con AVM a quanto pare è venuto fuori che ci sono segnalazioni simili anche di altri operatori e che potrebbe trattarsi di uno 0-day, da qui l'invito a tenere chiusa la porta 443.
andreagdipaolo Non è una sola, ho avuto modo di ottenere conferma anche da altri operatori.
Ok, aspettiamo dettagli quando finisce st'embargo.
xblitz Ma che state dicendo? La state facendo più grossa di quello che è.
Semplicemente non tutti vogliono nome e cognome pubblicati su internet, io la avevo riportata perchè mi sembrava maleducato non dare a cesare ciò che è di cesare, visto che comunque la fonte originale è pubblica.
Detto ciò non so nulla più di voi, se credete prendete le opportune misure altrimenti pace.