Qualcosa sta compromettendo il funzionamento di alcuni router AVM Fritz!Box 7590

edofullo · 2023-08-26T17:31:05+00:00

Leggendo su gruppi di settore sembrerebbe esserci una grave vulnerabilità che riguarda il modem/router FritzBox 7590, anche se al momento non possiamo esclud...

SPower

847owu6yj3mlopayqcom non dai fermatevi qui vi prego!!! sennò questa discussione è solo un continuo bisticciare senza concludere nulla. grazie

DerAdler

847owu6yj3mlopayqcom comunque mi fido e mi sta bene pure cosi..non vorrei finire OT in un dibattito a due non utile...

l'accendiamo,

handymenny

Dando un'occhiata al volo ai firmware, alcune delle modifiche (in termini di byte, testuali c'è giusto il cambio versione) sembrano essere legate a "login", "login from internet", "tr064", "tr069", certo senza sapere cosa è stato toccato può voler dire tutto, come può voler dire niente (Quindi ""non quotatemi"").

SPower

al quinto tentativo si è aggiornato. arrivata pure la mail di conferma dal fritz. tuttavia appena rifatto il login è comparsa la pagina che allego, ovvero la stessa che si è presentata con l'aggiornamento alla 7.56. Non ne capisco il motivo, sapranno loro. Ah, via mail è arrivata anche la mail che spiega cosa ci sia di nuovo nel 7.57, info identiche a quelle visibili nel fritz....parlano della release 7.55 e indietro....no comment.

Piuttosto rilascio l'aggiornamento domani ma non faccio queste figure. Ma secondo me non ne faranno perchè la maggior parte degli utenti usa fritz perchè semplice per l'utilizzatore medio domestico.
Per me invece i fritz sono difficili da configurare, li ho sempre odiati per le loro "semplici" descrizioni delle funzioni, a detta loro, per tali utenti, ma spesso non si capisce esattamente a cosa servano o come funzionino certe impostazioni. Io preferisco di gran lunga i Zyxel e i Cisco in particolar modo su cui ho smanettato per 15 anni almeno. Per me le schermate dei Cisco sono comprensibili, diverse schermate dei Fritz sono pari al turco e tocca cliccare e vedere che succede nonostante le descrizioni. Ma vabbè, mia impressione.

massie

SPower uttavia appena rifatto il login è comparsa la pagina che allego, ovvero la stessa che si è presentata con l'aggiornamento alla 7.56.

E' normale, l'hanno messa come default al riavvio. Comunque tutto ok con il nuovo.

SPower Per me invece i fritz sono difficili da configurare,

Io come all in one non potrei usare altro.

847owu6yj3mlopayqcom

SPower Per me invece i fritz sono difficili da configurare

...vorrei vedere un utente home configurare i router Ubiquiti... oppure Draytek..

ErBlask

SPower chissà da quanto tempo c'è questa vulnerabilità, dubito fortemente ormai da sole 2 settimane...

😀l'esistenza di una vulnerabilità la si scopre solo dopo che iniziano a "sfruttarla" 😀 altrimenti non sarebbe una vulnerabilità.

Comunque lode a avm che cerca tempestivamente di fixare con gli aggiornamenti, come a dimostrato in questo caso, contrariamente a a**s che a tappato la falla dopo 5anni 😬

Per il resto vedremo come si evolve la cosa...

GusEdgestream Comunque un firewall/router che si rispetti deve sassolutamente supportare syslog per registrare accessi e tutto quello che ne deriva per la normativa della raccolta dei log.

Be! diciamo che il Fritz!box non è proprio scarno nell'analizzare gli eventi, come dimostra la capacità di avvisi che può mostrare in Sistema>Eventi e lista completa e consultabile qui
https://fritzhelp.avm.de/help/it/FRITZ-Box-7590-avme/avme/021/hilfe_liste_ereignisse

Ma oltre a questo come dicevo sul post sopra e come hai ribadito te, non da possibilità di esportare il log (appatto che usino syslog-ng) di sistema (visto che Fritz!OS si basa su Linux) su server esterni, cosa che fanno altre marche molto meno blasonate...

Io mi aspetterei una cosa fattibile nella loro Modalità>Avanzata ma purtroppo non è così 😞

LookedPath

ErBlask lode ad un'azienda che nega pubblicamente vulnerabilità finchè non viene costretta dai continui articoli sulla stampa online, che non rilascia nessun annuncio pubblico per informare gli utenti, che non apre CVE e rimane criptica su cosa sia successo persino con gli operatori suoi clienti.
A me sembra un ottimo esempio di cosa non fare quando c'è un problema.

847owu6yj3mlopayqcom

bortolotti80 Stanno rilasciando l'aggiornamento anche per chi aveva le versioni BETA, Labor, portando la nuova versione alla 7.57 (Stable)

...almeno in un caso degli AVM 7590 che ho in gestione non è cosi...

..e non indica l'esistenza di aggiornamento neppure con la ricerca manuale....

bortolotti80

LookedPath
Invece è un ottimo esempio, perché ci vorranno mesi prima che "tutti" installeranno la nuova versione con la patch, se di questo si tratta, infatti , è perfino scritto che in futuro rilasceranno maggiori dettagli riguardo la patch

Le vulnerabilità si rilasciano mesi dopo le patch

847owu6yj3mlopayqcom

Molto strano, ma non ho un 7590, avevo un 7490 in beta

SPower

847owu6yj3mlopayqcom eh lo so, infatti per carità AVM ha fatto fin'ora sicuramente il meglio per gli utenti base. Io invece a navigare nei menù dei fritz non mi ci son mai trovato bene. Mi son molto più chiare le webUI dei Zyxel e Cisco ricchissimi di opzioni di ogni genere. Sarà l'abitudine di configurare firewall enterprise di ogni marchio possibile da 20 anni!

FERRARI81

LookedPath In base a questo thread, il CVE esiste ed è secretato.

Inoltre non c'è nessuno che ha rivendicato lo sfruttamento di una falla.

Cosa è accaduto aleggia ancora nelle chiacchiere al bar

ErBlask

LookedPath Se te mi dovresti vedere la tua macchina, dubito fortemente che mi elencheresti tutti i suoi difetti 😄😄.

LookedPath

FERRARI81 a questo punto, dopo che AVM ha pubblicato l'aggiornamento sulla pagina che usa per i firmware che patchano vulnerabilità, mi sembra che si possa smettere di usare la scusa delle chiacchiere da bar. Allo stato attuale non ci sono CVE registrate e sembra un vizietto che AVM ha, probabilmente per evitare l'attenzione mediatica.

ErBlask si tratta di pratiche standard nell'industria seguite da tutti i maggiori produttori di router, il prodotto perfetto non esiste e le falle le hanno tutti. Quello che cambia è il modo in cui vengono gestite e AVM non lo fa in maniera trasparente come dovrebbe.

FERRARI81

LookedPath Nessuno collega l'ultimo aggiornamento con gli avvenimenti illustrati in questo thread.
Poi vedici pure quello che vuoi. Al bar è tutto permesso

847owu6yj3mlopayqcom

LookedPath AVM ha pubblicato l'aggiornamento sulla pagina che usa per i firmware che patchano vulnerabilità

....non so da dove derivi e supportata da cosa l'affermazione che questo indirizzo FTP sia usato per "firmware che patchano vulnerabilità"

https://ftp.avm.de/fritzbox/

É dai tempi dei 3272 che lo uso per il download non delle patch ma, come lo chiama AVM, FRITZ!OS ufficiale...

Poi come dicevo precedentemente giusto che in una discussione ognuno possa esprimere le proprie ipotesi.
Che ipotesi, cioè tesi ipotetiche, rimangono sino a quando non esistono elementi certi appurati documentati e ripetibili che le confermino.
É nel modo scientifico e non solo che funziona cosi per fare che una ipotesi si trasformi in tesi universalmente riconosciuta ed incontrovertibile.

LookedPath

bortolotti80 le vulnerabilità vengono annunciate mesi dopo le patch quando vengono segnalate a porte chiuse non quando sono attivamente utilizzate e ci sono device che muoiono come delle mosche. In quel caso viene sempre fatto un annuncio per consentire ai clienti di correre ai ripari e limitare i danni.

bortolotti80

LookedPath non quando sono attivamente utilizzate e ci sono device che muoiono come delle mosche

Non sono stati vettori di attacco, chi li disabilitava poteva aver già avvisato AVM 🙂

AVM si rivolge al mercato consumer, il cliente dovrebbe sempre aggiornare

I clienti colpiti sono minimi e la vulnerabilità non era pubblica, guarda caso all'estero non si sa nulla di ciò
I colpiti che hanno scritto nel forum saranno una decina a dir tanto? A parte chi gestiva da remoto molti fritzbox, tramite gestione remota (ISP)

Concludo dicendo, che proprio perchè la vulnerabilità non è pubblica, non sappiamo, se sia una patch risolutiva o la vulnerabilità non esista e sia frutto di configurazioni sbagliate lato ISP

Kibbutz90

Aggiornato il fritz principale a 7.57 ma non riesco per qualche strano motivo ad aggiornare il secondario usato come ripetitore mesh 🤷🏻‍♂️

ag23900

bortolotti80 Ma cosa ci guadagnate a difendere AVM a spada tratta?

Hanno gestito nel modo peggiore possibile questa situazione, punto e basta.

Appena gli sono arrivate segnalazioni di centinaia di Fritz con solo la gestione remota attiva in comune resettati e con config corrotte DOVEVANO rilasciare un comunicato in cui spiegavano come evitare di trovarsi in questa situazione.
La vulnerabilità è ovvio che ci fosse, altrimenti invece che rilasciare un firmware senza nemmeno farlo andare in beta (quando mai AVM non fa mesi e mesi di beta?) e che stranamente modifica la parte che gestisce i login avrebbero fatto modificare le configurazioni agli ISP no?

È una coincidenza che qualche giorno dopo il riscontro di questo problema sia magicamente uscito un aggiornamento che "consigliano di installare a tutti" e che è un "necessary stability and security update"?
Aspettiamo che rilascino dettagli, visto che c'è scritto che lo faranno

Togliete il paraocchi

handymenny

847owu6yj3mlopayqcom non è l'ftp, ma è questa pagina che viene usata per segnalare importanti aggiornamenti di sicurezza: https://en.avm.de/service/security-information-about-updates/

LookedPath

847owu6yj3mlopayqcom Io parlo della loro pagina specifica, che ha postato anche @ErnyTech 3 ore fa.

https://forum.fibra.click/d/43490-qualcosa-sta-compromettendo-il-funzionamento-di-alcuni-router-avm-fritzbox-7590/575

In quella pagina inseriscono solo le versioni di FritzOS che patchano una qualche vulnerabilità, e agli operatori sono arrivate comunicazioni da AVM che invitano ad installare la nuova versione al piú presto per patchare.

847owu6yj3mlopayqcom

handymenny

In quella pagina c'è un riferimento ad ogni versione di tutti i precedenti FW, escluso il 7.55.

Che poi ognuno ricavi ciò che più gli aggrada ci sta....

Che indichi che il rilascio riguardi il "Qualcosa sta compromettendo il funzionamento di alcuni router" oppure l'iniziale "Scoperta grave vulnerabilità" o altro ancora è libertà e sensibilità del singolo utente acclarare o meno...

« Pagina precedente Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile