Qualcosa sta compromettendo il funzionamento di alcuni router AVM Fritz!Box 7590

edofullo · 2023-08-26T17:31:05+00:00

Leggendo su gruppi di settore sembrerebbe esserci una grave vulnerabilità che riguarda il modem/router FritzBox 7590, anche se al momento non possiamo esclud...

ag23900

bortolotti80 Ma cosa ci guadagnate a difendere AVM a spada tratta?

Hanno gestito nel modo peggiore possibile questa situazione, punto e basta.

Appena gli sono arrivate segnalazioni di centinaia di Fritz con solo la gestione remota attiva in comune resettati e con config corrotte DOVEVANO rilasciare un comunicato in cui spiegavano come evitare di trovarsi in questa situazione.
La vulnerabilità è ovvio che ci fosse, altrimenti invece che rilasciare un firmware senza nemmeno farlo andare in beta (quando mai AVM non fa mesi e mesi di beta?) e che stranamente modifica la parte che gestisce i login avrebbero fatto modificare le configurazioni agli ISP no?

È una coincidenza che qualche giorno dopo il riscontro di questo problema sia magicamente uscito un aggiornamento che "consigliano di installare a tutti" e che è un "necessary stability and security update"?
Aspettiamo che rilascino dettagli, visto che c'è scritto che lo faranno

Togliete il paraocchi

FERRARI81

ag23900 Questa "uscita" è da fan boy. Dal mio punto di vista i primi a poter intervenire con certezza erano gli ISP che distribuiscono questo modem.
Ma è sempre più facile aizzare tutti contro AVM, che fare un aggiornamento di configurazione mediante TR-069

bortolotti80

ag23900 È una coincidenza che qualche giorno dopo il riscontro di questo problema sia magicamente uscito un aggiornamento che "consigliano di installare a tutti" e che è un "necessary stability and security update"?

Può essere, ripeto nessuno sa nulla, state facendo sentenze su dicerie, allo stesso modo di una persona che fa sentenze prima di un tribunale

ag23900 Ma cosa ci guadagnate a difendere AVM a spada tratta?

Io potrei dire cosa ci guadagnano le persone a diffamare un'azienda e programmatori, senza avere alcuna informazione valida?
Perchè in questi 600 messaggi si sta parlando del nulla cosmico, se non che i dispositivi colpiti esponevano la WebUI al mondo intero, non sappiamo altro

Il mio è un'invito a stare cauti, non in difesa di AVM, le sentenze si fanno alla fine

Il bug potrebbe benissimo impattare altri prodotti non di AVM, potrebbe impattare librerie
Da qui il possibile motivo per cui ad ora non ci sia nulla di pubblico

Esperanza

ag23900 Hanno gestito nel modo peggiore ... ... Appena gli sono arrivate segnalazioni di centinaia di Fritz con solo la gestione remota attiva in comune resettati e con config corrotte DOVEVANO rilasciare un comunicato in cui spiegavano come evitare di trovarsi in questa situazione.

ci sono altri due livelli di "peggiore":

potevano metterci una vita ad emettere una fix o aspettare la prossima release
potevano far finta di nulla e non fare nulla

per me la priorità è emettere una fix, chiudere la falla per evitarne lo sfruttamento

Devidah

ag23900 Togliete il paraocchi

Il paraocchi si toglie ai fanboy (o agli evangelizzati) scrivendo una recensione comparativa tra un Fritz ed un, che ne so, Asus o Keenetic.

Guarda caso, quando ho chiesto qui cosa ci sia di meglio per me per gestire una FTTC, linea voip, un dect ed un extender, nessuno è mai riuscito a tirar fuori uno straccio di alternativa ai miei 7530 e 1200..

Aspettiamo le tue recensioni comparative, in assenza delle quali siamo sempre lì: tonnellate di proclami di hater contro fanboy, contro evangelizzati contro brainwashed.

LookedPath

847owu6yj3mlopayqcom Io parlo della loro pagina specifica, che ha postato anche @ErnyTech 3 ore fa.

https://forum.fibra.click/d/43490-qualcosa-sta-compromettendo-il-funzionamento-di-alcuni-router-avm-fritzbox-7590/575

In quella pagina inseriscono solo le versioni di FritzOS che patchano una qualche vulnerabilità, e agli operatori sono arrivate comunicazioni da AVM che invitano ad installare la nuova versione al piú presto per patchare.

847owu6yj3mlopayqcom

handymenny

In quella pagina c'è un riferimento ad ogni versione di tutti i precedenti FW, escluso il 7.55.

Che poi ognuno ricavi ciò che più gli aggrada ci sta....

Che indichi che il rilascio riguardi il "Qualcosa sta compromettendo il funzionamento di alcuni router" oppure l'iniziale "Scoperta grave vulnerabilità" o altro ancora è libertà e sensibilità del singolo utente acclarare o meno...

ag23900

FERRARI81 Più probabile che sia un'uscita da persona con un minimo di capacità di critica e che i post da fanboy siano quelli in cui difendete un'azienda che ha cercato di nascondere in ogni modo una vulnerabilità, talmente tanto da mandare una mail agli ISP in cui dicono di essere a conoscenza del problema e che stavano investigando in una parte della mail segnata come "confidenziale" però senza far firmare NDA a nessuno.

Gli ISP con controllo della CPE hanno fatto ciò che consigliava AVM stessa, ossia di disabilitare l'accesso remoto, però la vulnerabilità andava comunicata anche ai comuni mortali in modo da proteggersi anche loro.

Però il fanboy sono io...

FERRARI81

ag23900 ISP in cui dicono di essere a conoscenza del problema e che stavano investigando in una parte della mail segnata come "confidenziale" però senza far firmare NDA a nessuno.

Gli ISP con controllo della CPE hanno fatto ciò che consigliava AVM stessa, ossia di disabilitare l'accesso remoto, però la vulnerabilità andava comunicata anche ai comuni mortali in modo da proteggersi anche loro.

Però il fanboy sono io...

Quindi tutto quanto riportato in questo thread viola il patto di confidenzialità?

E, quando gli ISP avrebbero avvisato gli utenti su quanto in accadimento?

847owu6yj3mlopayqcom

Quasi da subito AVM aveva rilasciato comunicato che si può leggere all'inizio della discussione che riportava come in tutti i casi il problema riguardasse prodotti con accesso da remoto tramite porta 443 e che tale accesso in tutti i casi tale accesso era stato configurato dall'ISP.

AVM is aware of cases in which internet access via PPPoE and/or the login to the FRITZ!Box 7590 user interface is no longer possible. AVM is currently investigating the issue thoroughly. What we currently know:

In all cases remote access to the FRITZ!Box user interface via https was found enabled, using the https well known port 443.
In all cases this https access was set up by the ISP in order to administrate the router
We are not aware of any FRITZ!Box models besides FRITZ!Box 7590 that are affected by the issue.

What we recommend to end users to re-establish their internet service:

Open http://fritz.box in a browser on a device connected to the FRITZ!Box.
If Login is possible with the FRITZ!Box password click on “Assistants” then “Internet” and follow the instructions.
If Login is not possible restore the user settings by using the "Forgot password" function on the login page and follow the instructions (detailed information). After the internet service has been reestablished update to the current FRITZ!OS version.

We deeply regret any inconveniences and will come up with updated information as soon as our investigations reveal them. In case of any further questions please do not hesitate to contact us.

Che poi come è stato scritto sopra sia stato modificata la parte di login e sia stato comunicato agli ISP interessati di eseguire aggiornamento.... è più di un indizio oltre al fatto che la quasi totalità degli apparati coinvolti sia gestita da ISP, e tranne numeri infinitesimali sul totale, in Italia dove non pare AVM distribuisca il 99,9% della sua produzione.

Degli ISP di cui sopra...nessuno parla. Contro AVM... tutti. Non sono a libro-paga di AVM ma la cosa non mi quadra comunque....

handymenny

847owu6yj3mlopayqcom Quasi da subito AVM aveva rilasciato comunicato

Senza entrare nel merito, ma giusto per chiarire, quello è un pezzo di una mail inviata agli ISP che erano in contatto con AVM per quel problema, che sostanzialmente questo forum ha deciso di rendere pubblica

Kibbutz90

Risolto, per qualche strano motivo ho dovuto fare un aggiornamento manuale scaricando il file del fritzos dal sito.

ag23900

FERRARI81 Quindi tutto quanto riportato in questo thread viola il patto di confidenzialità?

Non avendo nessuno firmato un NDA no, lo scrivere “confidenziale” in una mail non è sufficiente

andreagdipaolo

FERRARI81 Quindi tutto quanto riportato in questo thread viola il patto di confidenzialità?

Al massimo l'avrebbero violato gli operatori, ma non mi risulta che ne abbiano firmato alcuno nemmeno loro.

FERRARI81 E, quando gli ISP avrebbero avvisato gli utenti su quanto in accadimento?

Alcuni - prevalentemente business - l'hanno fatto, altri no.

FERRARI81

ag23900 Non avendo nessuno firmato un NDA no, lo scrivere “confidenziale” in una mail non è sufficiente

Quindi confermi che di confidenziale non c'era in effetti nulla. Eppure in altri post ho letto il contrario con tanto di censura. Scusa ma resto perplesso sulla reale situazione.

bortolotti80

ag23900
A livello aziendale è prassi consolidata, ovviamente non posso allegare esempi per ovvi motivi, può portare anche al licenziamento

Noi in azienda abbiamo più livelli di confidenzialità e sono obbligati a rispettarla anche le aziende esterne, ogni email termina con le indicazioni legali

Le dichiarazioni di riservatezza hanno due scopi principali: informare e proteggere. Informando i destinatari che l'e-mail è riservata, si stabiliscono le aspettative e i limiti per la gestione delle informazioni. Inoltre, ricordate loro di fare attenzione a non inoltrare, copiare o divulgare l'e-mail a persone non autorizzate. Utilizzandole, state cercando di evitare responsabilità legali o danni nel caso in cui l'e-mail venga accidentalmente o intenzionalmente divulgata, violata o utilizzata in modo improprio. Inoltre, si affermano i propri diritti e la proprietà delle informazioni.

L’unico fondamento giuridico rilevante sul disclaimer è rinvenibile all’art. 616[6], comma 2[7] del codice penale, ai sensi del quale “se il colpevole, senza giusta causa, rivela, in tutto o in parte, il contenuto della corrispondenza, è punito, se dal fatto deriva nocumento ed il fatto medesimo non costituisce un più grave reato, con la reclusione fino a tre anni”.

In tal senso, scopo del disclaimer è quello di avvertire il destinatario in relazione alla violazione di legge in cui incorrerebbe nel caso in cui diffondesse illecitamente il contenuto della corrispondenza ricevuta erroneamente. Tuttavia, sulla scorta del noto principio di matrice penalistica secondo cui “ignorantia legis non excusat”, non è certamente compito del mittente dover istruire il destinatario circa le fattispecie che rappresenterebbero una violazione di legge.

https://www.cyberlaws.it/2020/valore-legale-disclaimer-email/

A-da-coddai

Manco gratis vorrei un prodotto avm 👍

LookedPath

FERRARI81 di confidenziale non c'è proprio nulla su questa CVE, l'operatore che aveva segnalato questa vulnerabilità in un gruppo di operatori italiani ha semplicemente chiesto che il suo nome venisse rimosso dal post sul forum. Al massimo è AVM che sta cercando di tenere il tutto in sordina mandando mail agli operatori dicendo che sono confidenziali, non aprendo una CVE pubblica e senza fare un comunicato stampa pubblico.

Ripeto queste azioni sono la prassi e il minimo sindacabile da qualsiasi azienda rispettabile del settore, vedi per esempio Cisco che ha un portale dedicato dove possono essere cercati tutti i Security Advisories e dove ognuno ha una CVE associata. Questo a differenza di AVM che ha solo 9 CVE aperte nonostante anche sul loro sito siano menzionate patch per piú vulnerabilità nel corso degli anni.

bortolotti80 se leggevi poco sotto al tuo ultimo quote viene scritto questo:

Alla luce dell’excursus normativo ripercorso, è evidente dunque non esista un fondamento giuridico certo e condiviso dottrinalmente a sostegno dell’obbligatorietà del disclaimer.

Che in soldoni significa che senza una NDA non ci possono fare nulla se tu diffondi quello che ti inviano. Certo ti possono fare causa tanto per darti fastidio e farti spendere soldi ma dubito vincerebbero un vero processo. Infatti ogni volta che si parla con qualche azienda seria, anche solo per i listini, ti fanno firmare una NDA.

sursumcorda

bortolotti80 L’unico fondamento giuridico rilevante sul disclaimer è rinvenibile all’art. 616[6], comma 2[7] del codice penale, ai sensi del quale “se il colpevole, senza giusta causa, rivela, in tutto o in parte, il contenuto della corrispondenza, è punito, se dal fatto deriva nocumento ed il fatto medesimo non costituisce un più grave reato, con la reclusione fino a tre anni”.

E l'email è assimilata alla corrispondenza?
Ci sono precedenti?

P.S: In questo thread noto livelli inusitati di acrimonia.

Cal

bortolotti80 se il colpevole, senza giusta causa, rivela, in tutto o in parte, il contenuto della corrispondenza,

Ma questo non si applica al destinatario!

Leggiamoli per intero gli articoli del codice. https://www.brocardi.it/codice-penale/libro-secondo/titolo-xii/capo-iii/sezione-v/art616.html

mandraghen

Chiedo conferma: il file per aggiornamento in manuale è FRITZ.Box_7590-07.57.image , corretto ? (scaricato da https://ftp.avm.de/ )

ErBlask

mandraghen yes, per il 7590 la versione international:
https://ftp.avm.de/fritzbox/fritzbox-7590/other/fritz.os/

Richardg

Installato aggiornamento su Fritz 7530 per ora tutto ok. Molto lungo il passaggio di versione pacchetto corposo

giuse56

Devidah nessuno è mai riuscito a tirar fuori uno straccio di alternativa ai miei 7530 e 1200..

Perché infatti sono tra i migliori prodotti per i tuoi usi, e soprattutto all in one.

Ma in tutto ciò cosa c'entra questo tuo commento con la scarsa trasparenza nella divulgazione della CVE di AVM? 😅

simonebortolin

Devidah Guarda caso, quando ho chiesto qui cosa ci sia di meglio per me per gestire una FTTC, linea voip, un dect ed un extender, nessuno è mai riuscito a tirar fuori uno straccio di alternativa ai miei 7530 e 1200..

Certo perché hanno solo la fortuna di avere il chipset migliore

ErnyTech

Devidah

scrivendo una recensione comparativa tra un Fritz ed un, che ne so, Asus o Keenetic.

E perché mai? Qua si parla della problematica riscontrata sui FirtzBox e di come la sta gestendo AVM, le recensioni e confronti tra prodotti sono totalmente incoerenti con il topic della discussione

« Pagina precedente Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile