Qualcosa sta compromettendo il funzionamento di alcuni router AVM Fritz!Box 7590

edofullo · 2023-08-26T17:31:05+00:00

Leggendo su gruppi di settore sembrerebbe esserci una grave vulnerabilità che riguarda il modem/router FritzBox 7590, anche se al momento non possiamo esclud...

Marco25

edofullo Assumendo sia vero, vorrebbe dire che in realtà la vulnerabilità è in realtà sfruttabile da rete locale e non da remoto, che direi essere una buona notizia.

Ecco spiegato, ma bisogna essere loggati nel momento dell'attacco, a meno che non ci sia una ulteriore vulnerabilità che permette accesso non autenticato.

ErBlask

edofullo Quello che non capisco, ma l'eventuale aggressore con le sue capacità di entrarti nella rete dall'esterno e fare come gli pare, sfrutta tutta questa capacità per entrarti solo nel router e cambiarti i parametri? boooo 🤔🤔🤔
/
Macché sto leggendo e rileggendo l'articolo, ma non riesco a capire... 🙃🙃🙃 ( o sono Tonto o ho proprio l'anello al naso)

[cancellato]

ErBlask sfrutta tutta questa capacità per entrarti solo nel router e cambiarti i parametri?

Magari la vulnerabilità permette solo di corrompere la configurazione ma non di modificarla con dati specifici.

edofullo

handymenny Aspetta, credo intendesse che non è solo sfruttabile da remoto, ma anche da locale, ed è giusto così il web server sempre quello è.

Si io intendo che non è sfruttabile da remoto da sola (come potrebbe essere un buffer overflow su qualche decoder di pacchetti/nat), hai anche bisogno che l'utente apra una pagina vulnerabile a CSRF (o simil).

handymenny Questo significa che probabilmente l'attacco consiste nel corrompere la config del fritzbox.

Che fallirà qualche checksum, che porta al reset della config.

handymenny

edofullo Si io intendo che non è sfruttabile da remoto da sola (come potrebbe essere un buffer overflow su qualche decoder di pacchetti/nat), hai anche bisogno che l'utente apra una pagina vulnerabile a CSRF (o simil).

Ti faccio un esempio.
Immagina che per sfruttare il bug basti una get non autenticata del tipo: https://fritz.box/endpointMagico/XYZW
Se questo endpointMagico non verifica che tu stia volutamente facendo la richiesta (banalmente accettando qualsiasi richiesta cross-site), bastano due righe di javascript per triggerare il bug

Marco25

edofullo hai anche bisogno che l'utente apra una pagina vulnerabile a CSRF (o simil).

La pagina del fritz deve essere vulnerabile, non la pagina che incorpora una richiesta alla pagina del fritz.

edofullo

handymenny Ah si, adesso ho capito cosa intendi.

In pratica se l'accesso da remoto è disattivato, si usa CSRF altrimenti si può trigger are direttamente via internet.

Marco25

ErBlask non penso che fibraclick si faccia bucare tanto facilmente

Non essendoci una Content-Security-Policy, fibra.click non pone limitazioni sui contenuti di terze parti che possono essere incorporati nella pagina.

handymenny Immagina che per sfruttare il bug basti una get non autenticata del tipo: https://fritz.box/endpointMagico/XYZW

Supponendo un bug di questo tipo, penso sia possibile includere in un commento il link fingendo che sia una immagine da visualizzare per far scattare l'operazione.

La funzionalità Cross-Origin Read Blocking del browser non permetterebbe di ottenere una risposta ma il danno sarebbe compiuto.

Notare che modificare lo stato del server (quello del Fritz) tramite GET non sarebbe conforme agli standard.

EDIT: chiarisco, fibra.click non ha alcuna colpa né coinvolgimento. Spiego solo come possa essere stato sfruttato il bug.

handymenny

edofullo si però era solo un esempio di chi ha scritto l'articolo. Per come la vedo io, era per dire: il modo per mandarvi lì volendo si trova, non sentitevi super-sicuri con l'accesso remoto disattivo.
Ma questo vale per tutti i modem (e non solo) praticamente.

pelliccia57

scusate la mia ignoranza ma quindi il modem 7530 è sicuro o no. Mi conviene tornare alla vodafone station?

edofullo

pelliccia57 Aggiorna alla 5.57 e dovresti essere a posto.

ErBlask

[cancellato] praticamente si riduce a un "classico metodo" di Phishing dove si invita la vittima a cliccare il link creato per il re indirizzamento --> #p928613 l'aggressore deve solo indirizzare la sua vittima verso un sito web che faccia riferimento all'interfaccia web nella rete interna, <-- (tipo quello di Poste italiane, che ti crea una pagina fasulla di login), in questo caso la pagina di login del Fritz (192.168.1.1).

🤔🤔🤔 non riesco ancora a capire 🤔🤔🤔
Almeno questo si evince da quello che dice l'articolo postato...
🤔🤔🤔 continuo ancora a non capire 🤔🤔🤔

[cancellato]

ErBlask praticamente si riduce a un "classico metodo" di Phishing

No. Se la porta admin è aperta lato WAN possono corrompere la configurazione direttamente da remoto. Se la porta non è aperta lato WAN, se riescono a farti cliccare su un link che scarica una pagina che poi ad esempio esegue nel browser un javascript che accede all'amministrazione via LAN ottengono lo stesso effetto.

Marco25

[cancellato] se riescono a farti cliccare su un link che scarica una pagina

O includere il javascript in ads o pagine o commenti di forum che utenti Fritz potrebbero visitare (Watering hole attack).

ErBlask

[cancellato] Sei stato chiarissimo 😉

[cancellato]

Marco25 commenti di forum che utenti Fritz potrebbero visitare

🤔😈🤣

ErBlask

Marco25 commenti di forum che utenti Fritz potrebbero visitare

Tipo questo... 🤔😈🤣

Be! non penso che fibraclick si faccia bucare tanto facilmente 😉

pelliccia57

eventualmente come se ne esce?

Bast

pelliccia57 Se il tuo non è stato attaccato, devi solo aggiornare il firmware all'ultima versione disponibile, se non si è già aggiornato in automatico.
Se invece non riesci a raggiungere la pagina web all'indirizzo di default o a quello che hai assegnato tu, se mai l'avessi fatto, allora sei stato attaccato.
Se è così, il fritz sarà raggiungibile all'indirizzo d'emergenza http://169.254.1.1
A quel punto ti dovrai loggare con la password assegnata di default e rifare la configurazione, ovviamente dopo aver aggiornato il firmware.

pelliccia57

grazie, era solo per informazione.

Filippo94

ErBlask Be! non penso che fibraclick si faccia bucare tanto facilmente 😉

Non stuzzicare gli utenti del forum 🤫

« Pagina precedente

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile