• Apparati e reti
  • Qualcosa sta compromettendo il funzionamento di alcuni router AVM Fritz!Box 7590

bortolotti80 Ma cosa ci guadagnate a difendere AVM a spada tratta?

Hanno gestito nel modo peggiore possibile questa situazione, punto e basta.

Appena gli sono arrivate segnalazioni di centinaia di Fritz con solo la gestione remota attiva in comune resettati e con config corrotte DOVEVANO rilasciare un comunicato in cui spiegavano come evitare di trovarsi in questa situazione.
La vulnerabilità è ovvio che ci fosse, altrimenti invece che rilasciare un firmware senza nemmeno farlo andare in beta (quando mai AVM non fa mesi e mesi di beta?) e che stranamente modifica la parte che gestisce i login avrebbero fatto modificare le configurazioni agli ISP no?


È una coincidenza che qualche giorno dopo il riscontro di questo problema sia magicamente uscito un aggiornamento che "consigliano di installare a tutti" e che è un "necessary stability and security update"?
Aspettiamo che rilascino dettagli, visto che c'è scritto che lo faranno

Togliete il paraocchi

    847owu6yj3mlopayqcom Io parlo della loro pagina specifica, che ha postato anche @ErnyTech 3 ore fa.

    https://forum.fibra.click/d/43490-qualcosa-sta-compromettendo-il-funzionamento-di-alcuni-router-avm-fritzbox-7590/575

    In quella pagina inseriscono solo le versioni di FritzOS che patchano una qualche vulnerabilità, e agli operatori sono arrivate comunicazioni da AVM che invitano ad installare la nuova versione al piú presto per patchare.

    handymenny

    In quella pagina c'è un riferimento ad ogni versione di tutti i precedenti FW, escluso il 7.55.

    Che poi ognuno ricavi ciò che più gli aggrada ci sta....

    Che indichi che il rilascio riguardi il "Qualcosa sta compromettendo il funzionamento di alcuni router" oppure l'iniziale "Scoperta grave vulnerabilità" o altro ancora è libertà e sensibilità del singolo utente acclarare o meno...

    ag23900 Questa "uscita" è da fan boy. Dal mio punto di vista i primi a poter intervenire con certezza erano gli ISP che distribuiscono questo modem.
    Ma è sempre più facile aizzare tutti contro AVM, che fare un aggiornamento di configurazione mediante TR-069

    • ag23900 ha risposto a questo messaggio

      FERRARI81 Più probabile che sia un'uscita da persona con un minimo di capacità di critica e che i post da fanboy siano quelli in cui difendete un'azienda che ha cercato di nascondere in ogni modo una vulnerabilità, talmente tanto da mandare una mail agli ISP in cui dicono di essere a conoscenza del problema e che stavano investigando in una parte della mail segnata come "confidenziale" però senza far firmare NDA a nessuno.

      Gli ISP con controllo della CPE hanno fatto ciò che consigliava AVM stessa, ossia di disabilitare l'accesso remoto, però la vulnerabilità andava comunicata anche ai comuni mortali in modo da proteggersi anche loro.

      Però il fanboy sono io...

        Quasi da subito AVM aveva rilasciato comunicato che si può leggere all'inizio della discussione che riportava come in tutti i casi il problema riguardasse prodotti con accesso da remoto tramite porta 443 e che tale accesso in tutti i casi tale accesso era stato configurato dall'ISP.

        AVM is aware of cases in which internet access via PPPoE and/or the login to the FRITZ!Box 7590 user interface is no longer possible. AVM is currently investigating the issue thoroughly. What we currently know:

        In all cases remote access to the FRITZ!Box user interface via https was found enabled, using the https well known port 443.
        In all cases this https access was set up by the ISP in order to administrate the router

        We are not aware of any FRITZ!Box models besides FRITZ!Box 7590 that are affected by the issue.

        What we recommend to end users to re-establish their internet service:

        Open http://fritz.box in a browser on a device connected to the FRITZ!Box.
        If Login is possible with the FRITZ!Box password click on “Assistants” then “Internet” and follow the instructions.
        If Login is not possible restore the user settings by using the "Forgot password" function on the login page and follow the instructions (detailed information). After the internet service has been reestablished update to the current FRITZ!OS version.

        We deeply regret any inconveniences and will come up with updated information as soon as our investigations reveal them. In case of any further questions please do not hesitate to contact us.

        Che poi come è stato scritto sopra sia stato modificata la parte di login e sia stato comunicato agli ISP interessati di eseguire aggiornamento.... è più di un indizio oltre al fatto che la quasi totalità degli apparati coinvolti sia gestita da ISP, e tranne numeri infinitesimali sul totale, in Italia dove non pare AVM distribuisca il 99,9% della sua produzione.

        Degli ISP di cui sopra...nessuno parla. Contro AVM... tutti. Non sono a libro-paga di AVM ma la cosa non mi quadra comunque....

          ag23900 È una coincidenza che qualche giorno dopo il riscontro di questo problema sia magicamente uscito un aggiornamento che "consigliano di installare a tutti" e che è un "necessary stability and security update"?

          Può essere, ripeto nessuno sa nulla, state facendo sentenze su dicerie, allo stesso modo di una persona che fa sentenze prima di un tribunale

          ag23900 Ma cosa ci guadagnate a difendere AVM a spada tratta?

          Io potrei dire cosa ci guadagnano le persone a diffamare un'azienda e programmatori, senza avere alcuna informazione valida?
          Perchè in questi 600 messaggi si sta parlando del nulla cosmico, se non che i dispositivi colpiti esponevano la WebUI al mondo intero, non sappiamo altro

          Il mio è un'invito a stare cauti, non in difesa di AVM, le sentenze si fanno alla fine

          Il bug potrebbe benissimo impattare altri prodotti non di AVM, potrebbe impattare librerie
          Da qui il possibile motivo per cui ad ora non ci sia nulla di pubblico

          ag23900 Hanno gestito nel modo peggiore ... ... Appena gli sono arrivate segnalazioni di centinaia di Fritz con solo la gestione remota attiva in comune resettati e con config corrotte DOVEVANO rilasciare un comunicato in cui spiegavano come evitare di trovarsi in questa situazione.

          ci sono altri due livelli di "peggiore":

          1. potevano metterci una vita ad emettere una fix o aspettare la prossima release
          2. potevano far finta di nulla e non fare nulla

          per me la priorità è emettere una fix, chiudere la falla per evitarne lo sfruttamento

          847owu6yj3mlopayqcom Quasi da subito AVM aveva rilasciato comunicato

          Senza entrare nel merito, ma giusto per chiarire, quello è un pezzo di una mail inviata agli ISP che erano in contatto con AVM per quel problema, che sostanzialmente questo forum ha deciso di rendere pubblica

          Risolto, per qualche strano motivo ho dovuto fare un aggiornamento manuale scaricando il file del fritzos dal sito.

          ag23900 ISP in cui dicono di essere a conoscenza del problema e che stavano investigando in una parte della mail segnata come "confidenziale" però senza far firmare NDA a nessuno.

          Gli ISP con controllo della CPE hanno fatto ciò che consigliava AVM stessa, ossia di disabilitare l'accesso remoto, però la vulnerabilità andava comunicata anche ai comuni mortali in modo da proteggersi anche loro.

          Però il fanboy sono io...

          Quindi tutto quanto riportato in questo thread viola il patto di confidenzialità?

          E, quando gli ISP avrebbero avvisato gli utenti su quanto in accadimento?

            FERRARI81 Quindi tutto quanto riportato in questo thread viola il patto di confidenzialità?

            Non avendo nessuno firmato un NDA no, lo scrivere “confidenziale” in una mail non è sufficiente

              FERRARI81 Quindi tutto quanto riportato in questo thread viola il patto di confidenzialità?

              Al massimo l'avrebbero violato gli operatori, ma non mi risulta che ne abbiano firmato alcuno nemmeno loro.

              FERRARI81 E, quando gli ISP avrebbero avvisato gli utenti su quanto in accadimento?

              Alcuni - prevalentemente business - l'hanno fatto, altri no.

              Manco gratis vorrei un prodotto avm 👍

              ag23900 Non avendo nessuno firmato un NDA no, lo scrivere “confidenziale” in una mail non è sufficiente

              Quindi confermi che di confidenziale non c'era in effetti nulla. Eppure in altri post ho letto il contrario con tanto di censura. Scusa ma resto perplesso sulla reale situazione.

                ag23900
                A livello aziendale è prassi consolidata, ovviamente non posso allegare esempi per ovvi motivi, può portare anche al licenziamento

                Noi in azienda abbiamo più livelli di confidenzialità e sono obbligati a rispettarla anche le aziende esterne, ogni email termina con le indicazioni legali

                Le dichiarazioni di riservatezza hanno due scopi principali: informare e proteggere. Informando i destinatari che l'e-mail è riservata, si stabiliscono le aspettative e i limiti per la gestione delle informazioni. Inoltre, ricordate loro di fare attenzione a non inoltrare, copiare o divulgare l'e-mail a persone non autorizzate. Utilizzandole, state cercando di evitare responsabilità legali o danni nel caso in cui l'e-mail venga accidentalmente o intenzionalmente divulgata, violata o utilizzata in modo improprio. Inoltre, si affermano i propri diritti e la proprietà delle informazioni.

                L’unico fondamento giuridico rilevante sul disclaimer è rinvenibile all’art. 616[6], comma 2[7] del codice penale, ai sensi del quale “se il colpevole, senza giusta causa, rivela, in tutto o in parte, il contenuto della corrispondenza, è punito, se dal fatto deriva nocumento ed il fatto medesimo non costituisce un più grave reato, con la reclusione fino a tre anni”.

                In tal senso, scopo del disclaimer è quello di avvertire il destinatario in relazione alla violazione di legge in cui incorrerebbe nel caso in cui diffondesse illecitamente il contenuto della corrispondenza ricevuta erroneamente. Tuttavia, sulla scorta del noto principio di matrice penalistica secondo cui “ignorantia legis non excusat”, non è certamente compito del mittente dover istruire il destinatario circa le fattispecie che rappresenterebbero una violazione di legge.

                https://www.cyberlaws.it/2020/valore-legale-disclaimer-email/

                  Installato aggiornamento su Fritz 7530 per ora tutto ok. Molto lungo il passaggio di versione pacchetto corposo

                  ag23900 Togliete il paraocchi

                  Il paraocchi si toglie ai fanboy (o agli evangelizzati) scrivendo una recensione comparativa tra un Fritz ed un, che ne so, Asus o Keenetic.

                  Guarda caso, quando ho chiesto qui cosa ci sia di meglio per me per gestire una FTTC, linea voip, un dect ed un extender, nessuno è mai riuscito a tirar fuori uno straccio di alternativa ai miei 7530 e 1200..

                  Aspettiamo le tue recensioni comparative, in assenza delle quali siamo sempre lì: tonnellate di proclami di hater contro fanboy, contro evangelizzati contro brainwashed.

                    Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                    P.I. IT16712091004 - info@fibraclick.it

                    ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile