Più di 700mila router zeppi di vulnerabilità, anche in Italia

Un ricercatore di sicurezza ha riscontrato che centinaia di migliaia di router sono vulnerabili ad attacchi mirati, favorendo accessi da remoto non autorizzati e hijacking DNS. Tra i paesi coinvolti anche l'Italia.

Avatar di Manolo De Agostini

a cura di Manolo De Agostini

Ci sono più di 700mila (e potrebbe essere una stima prudente) router, distribuiti dagli operatori (ISP) ai proprio clienti, affetti da alcune falle critiche che potrebbero permettere a malintenzionati di prendere il controllo dei dispositivi.

Ne parla Lucian Constantin su Computerworld, citando tra i paesi coinvolti Colombia, India, Argentina, Thailandia, Moldova, Iran, Perù, Cile, Egitto, Cina e Italia. La lista dei modelli comprende ZTE H108N e H108NV2.1; D-Link 2750E, 2730U e 2730E; Sitecom WLM-3600, WLR-6100 e WLR-4100; FiberHome HG110; Planet ADN-4101; Digisol DG-BG4011N;  Observa Telecom BHS_RTA_R1A.

router netgear

Al momento si parla anche di prodotti offerti con nomi "localizzati", ossia dati dai vari operatori paese per paese, rendendo l'identificazione complicata. Forse i prodotti distribuiti dagli utenti dagli ISP italiani rientrano in questa categoria.

Secondo l'articolo la maggior parte dei router è affetta da una falla "directory traversal" in webproc.cgi, un componente del firmware. Tramite la vulnerabilità i malintenzionati possono estrarre i dati di configurazione, incluse le credenziali amministrative, dal file config.xml.

"Il ricercatore di sicurezza Kyle Lovett si è imbattuto nella falla alcuni mesi fa in alcuni router ADSL che stava analizzato nel tempo libero. Ha indagato ulteriormente e portato alla luce centinaia di migliaia di dispositivi vulnerabili di diversi produttori che erano stati distribuiti dagli ISP agli abbonati in una dozzina di paesi", ha scritto Constantin.

Il file config.xml contiene anche gli hash delle password per l'account di amministrazione e gli altri eventualmente presenti sul dispositivo, lo username e la password per il collegamento dell'utente all'ISP (PPPoE), le credenziali client e server per il protocollo di gestione remota TR-069 usato da diversi ISP e la password per la rete Wi-Fi configurata, se il prodotto ne è provvisto.

Il ricercatore afferma che l'algoritmo di hashing usato dai router è debole, quindi gli hash delle password possono essere facilmente craccati. I malintenzionati possono poi collegarsi come amministratori e cambiare le impostazioni DNS del router, dirigendo gli utenti verso server non legittimi, con tutte le problematiche del caso (malware, ecc.).

Sitecom WLR-5100 Wi-Fi Sitecom WLR-5100 Wi-Fi
D-Link DSL-2750B D-Link DSL-2750B

"Su alcuni prodotti il download del file config.xml non richiede nemmeno la vulnerabilità; basta sapere l'URL corretto alla sua posizione", ha spiegato Lovett. Diversi router hanno anche ulteriori falle di sicurezza, con un account di supporto nascosto, condiviso da tutti, che ha una password hard-coded troppo facile da indovinare.

Per circa un quarto dei router analizzati è stato possibile ottenere da remoto informazioni sulla memoria attiva, ossia effettuare il cosiddetto "memory dump". Questo è un male perché la memoria di tali dispositivi può contenere informazioni sensibili sul traffico Internet, comprese le credenziali per vari siti web in formato testo (plain text).

d link router

Analizzando diversi memory dump, Lovett ha trovato i segni che i router erano già stati presi di mira, per lo più da indirizzi IP in Cina. "Ci sono probabilmente più dispositivi che hanno le stesse falle, ma non sono stati configurati per la gestione remota. Questi possono però essere attaccati all'interno di reti locali da malware", ha aggiunto Constantin.

A realizzare il firmware incriminato l'azienda cinese Shenzhen Gongjin Electronics, che opera con il marchio T&W. Produce dispositivi per diverse aziende, come D-Link, Asus, Alcatel-Lucent, Belkin e ZyXEL. Non è chiaro se Shenzhen Gongjin Electronics sia a conoscenza delle falle o se abbia distribuito un aggiornamento del firmware ai partner, ma il ricercatore ha provato a contattarli (senza successo) e ha cercato di fare altrettanto con le aziende che vendono i prodotti.