Allarme vulnerabilità nel software di oltre 12 milioni di router nel mondo.

Aperto da Carciofone, 21 Dicembre 2014, 11:41:02

Carciofone

Allarme vulnerabilità nel software di oltre 12 milioni di router nel mondo.

Periodicamente le agenzie di sicurezza specializzate come CheckPoint lanciano allarmi di vulnerabilità con riguardo ai software di funzionamento dei router che possono essere attaccati e redirezionati su bootnet e siti malevoli. L'allarme è tanto più importante se lanciato in momenti come quello attuale di forte tensione tra blocco occidentale e stati come la Corea o a causa della crisi dell'Ucraina.
Questa volta il problema è stato localizzato nel software RomPager, integrato dei gateway residenziali e scritto da una società che si chiama "AllegroSoft". Sembra che solo le versioni di RomPager antecedenti alla 4.34 siano affette dal problema, che i ricercatori di CheckPoint hanno denominato "Misfortune Cookie".
Si stima che oltre 12 milioni di router SOHO (Small Office Home Office) in tutto il mondo soffrano di questo bug che ne permette il controllo remoto. Se sfruttato questo difetto permette a un malintenzionato di monitorare il traffico in chiaro e le attività dei dispositivi collegati, comprese eventuali videocamere. È inoltre possibile modificare le impostazioni DNS, il che apre la porta ad attacchi più gravi come il redizionamento su server DNS fantasma ed opportunamente modificati dall'attaccante.

"Il biscotto della cattiva sorte" è il nome scelto dai ricercatori per indicare da un lato che l'attacco sfrutta un cookie (un tipo di file) e dall'altro che permette di reindirizzare anche tutte le connessioni Web. Alterando i DNS è infatti possibile deviare una legittima connessione su un sito appositamente artefatto, da usare ad esempio per rubare le credenziali di accesso a servizi di mailing o bancari.

Il problema è che non è semplice verificare la versione di RomPager in uso nel firmware del proprio router, perché si tratta di un software integrato nel sistema operativo del router. CheckPoint ha stimato in almeno 12 milioni i router vulnerabili (oltre 200 diversi modelli).

Il suggerimento che a questo punto si può dare nel caso si possieda uno dei modelli affetti dal problema è
- in primo luogo di verificare la presenza sul sito del produttore di un firmware correttivo aggiornato;
- in secondo luogo, qualora non fosse disponibile, occorrerà provvedere o alla integrale sostituzione del modem-router, oppure a farlo operare in modalità pure bridge mode acquistando un nuovo router con porta WAN che si incarichi della gestione della rete e della sua sicurezza.

Fonte: link.

m4ss1

Curioso il fatto che nella lista ci siano 67 zyxel, 30 TP-LINK, 17 D-Link e nessun NETGEAR

Carciofone

I D-link implicati son praticamente tutti fuori produzione, tra l'altro.
Anche i tricks correttivi che danno su vari siti sono praticamente tutti inutili, dal cambio DNS alla disattivazione dell'accesso da all'interfaccia web da remoto ...

Pondera

Come dicevo nel messaggio che mi è stato cancellato l'argomento è stato già affrontato qui nella discussione specifica dopo la segnalazione di un utente e non in uno spazio dedicato per non fare il gioco di soggetti che sfruttano la viralità delle notizie allarmistiche per evidenti scopi pubblicitari.

Carciofone

Non condivido minimamente questo modo di pensare, visto che si tratta di una notizia di risonanza mondiale recente e di dominio pubblico che riguarda una serie marginale di prodotti obsoleti. E' giusto che se ne parli e si tenga presente che la maggior parte dei tricks correttivi comunemente citati non hanno alcun effetto protettivo. Se si viene colpiti da questo tipo di attacco occorre prendere seri provvedimenti che non riguardano solo il singolo modello di router in uso, che può anche non essere tra quelli segnalati nel pamphlet.

Licenza Creative Commons
Il contenuto dei messaggi del forum è distribuito con
Licenza Creative Commons Attribuzione Non commerciale 4.0
Tutti i marchi registrati citati appartengono ai legittimi proprietari