DNS modificati su 300 mila router compromessi. Anche in Italia

DNS modificati su 300 mila router compromessi. Anche in Italia

300 mila router attorno al mondo, una buona fetta dei quali anche sul territorio italiano, sono stati compromessi alterando le configurazioni DNS: elevato rischio di attacchi MITM

di Andrea Bai pubblicata il , alle 16:26 nel canale Sicurezza
 

Team Cymru, una realtà statunitnense specializzata in sicurezza informatica, ha scoperto una massiccia compromissione che coinvolge circa 300 mila router di fascia SOHO (Small Office/Home Office): gli attaccanti, per ora anonimi, hanno potuto alterare le configurazioni DNS di questi dispositivi in maniera tale da poter dirottare il traffico web delle vittime. Gli indirizzi DNS incriminati sono 5.45.75.11 e 5.45.75.36.

Non v'è evidenza, per ora, di campagne di spoofing ma il team sta ancora indagando sulla vicenda. "Quello che abbiamo visto fino ad ora è abbastanza misterioso. 300 mila macchine sono state direzionate verso differenti server DNS" ha commentato Steve Santorelli, ricercatore per Cymru. L'aspetto piuttosto strano della vicenda è che tutto sembra essere coordinato da due indirizzi IP localizzati a Londra, entrambi registrati da una compagnia di hosting chiamata 3NT Solutions.

La compromissione è stata possibile adottando una tecnica di attacco denominata Cross Site Request Forgery che è in grado di sfruttare una vulnerabilità del firmare presente sui router di vari vendor (D-Link, Micronet, Tenda, TP-Link e altri).

La rete delle macchine compromesse non può essere considerata propriamente una botnet, dal momento che la compromissione è circoscritta ai router e non ai computer alle loro spalle, ma come Team Cymru sottolinea, questo livello di accesso potrebbe essere anche più pericoloso, dal momento che permette di condurre attacchi di tipo man-in-the-middle.

La società di sicurezza porta l'esempio di un attacco condotto in Polonia, dove è stato possibile sfruttare router compromessi per effettuare lo spoofing del sito web della banca mBank, raccogliere le credenziali degi utenti e infine svuotare i conti correnti online. In un contesto di questo tipo gli attaccanti possono usare i router per dirigere gli URL a qualsiasi server essi vogliano, mettendo in campo attacchi sofisticati.

Tam Cymru ha già contattato le autorità, sta ora cercando di rintracciare i riferimenti dei due indirizzi IP e sta sensibilizzando i vendor affinché rilascino una patch correttiva. Secondo le informazioni disponibili la maggior parte dei router presenti in USA e nell'Europa Occidentale sono al riparo da questo problema (sebbene nella documentazione di Team Cymru venga sottolineata una discreta presenza di router compromessi sul territorio italiano), mentre router vulnerabili si trovano in Europa dell'Est e in Asia, con particolare concentrazione in Vietnam e Thailandia.

E' consigliabile, pertanto, controllare la configurazione DNS dei propri router e verificare di aver impostato quelli forniti dal proprio provider di connettività, i DNS Google (8.8.8.8 e 8.8.4.4) oppure ancora OpenDNS (208.67.222.222 oppure 208.67.220.220).

38 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
lroby7404 Marzo 2014, 17:02 #1

Ne ho sistemato uno questa mattina

E' il terzo da circa 1 anno e mezzo a questa parte a cui succede, peccato che gli utenti se ne accorgono perchè non riescono più a navigare in internet e che quindi chiamino subito qualcuno di riferimento per risolvere il problema.
bancodeipugni04 Marzo 2014, 18:22 #2
beh meno male che se ne accorgono subito

peggio sarebbe se fosse una cosa silente: alcuni se lo terrebbero per anni
hfish04 Marzo 2014, 19:06 #3
confermo l'attacco. il mio merdosissimo tplink è stato bucato allegramente ed ho trovato i dns cambiati...

ovviamente è già aggiornato con l'ultimo firmware disponibile, anche se risale a molto, MOLTO tempo fa...

che precauzioni prendere per evitare di essere bucati di nuovo?
biffuz04 Marzo 2014, 19:17 #4
Non è chiaro se l'attacco arriva al router dal lato Web (cioé sei fregato a prescindere) o dal lato LAN (cioé devi prima avere il PC compromesso, e da quello attaccano il router).
Certo che non si può più stare tranquilli...
hfish04 Marzo 2014, 19:36 #5
nella rete casalinga ci sono un paio di pc linux, un paio di cellulari android,un iphone, un ipad e un mac

tutto bucabile, per carità, ma non ci sono computer windows, di solito i primi da additare in caso di exploit...
Mendocino8904 Marzo 2014, 20:14 #6
Più che altro mi piacerebbe capire se i router attaccabili sono quelli basati su piattaforma (hw e sw reference) Trendchip o Broadcom.

Onestamente credo che siano i primi, visto quanto è facile ottenere i permessi di amministratore dalla WAN sfruttando un bug del rompager server.
Modificare poi il dhcp per fornire in lease i dns voluti è un attimo, visto che questi cassonetti hanno anche il telnet accessibile da wan di default...

Mettici poi qualche scriptino per automatizzare la cosa, un pool di ip preferibilmente associato dagli isp alle utenze domestiche ed il gioco è fatto...
Notturnia04 Marzo 2014, 20:21 #7
per mia fortuna ne il mio cisco ne quello che ho in montagna hanno cambiato le impostazioni che ho dato loro.. sono ancora puntati su Google :-D

eppure io ho tutto Windows a casa (escludendo il mobile apple).. e nessuno mi sta bucando il firewall (il cisco appunto)
FunnyDwarf04 Marzo 2014, 21:02 #8
Originariamente inviato da: Mendocino89
Più che altro mi piacerebbe capire se i router attaccabili sono quelli basati su piattaforma (hw e sw reference) Trendchip o Broadcom.
dal documento linkato nell'articolo sembrerebbero in prevalenza trendchip e atheros
benderchetioffender04 Marzo 2014, 21:51 #9
Ma in tutto questo, nessuno ha stilato una raccolta dei modelli compromessi?

sarebbe carino visto che per ora non ho accesso al mio router essendo all'estero
robertogl04 Marzo 2014, 22:02 #10
TP-LINK WR841N, nessun problema

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^