Vulnerabilità critica presente su parecchi router Netgear: cosa fare per proteggersi

Alcuni modelli di router Netgear sono vulnerabili ad un hack che consente ad eventuali utenti malintenzionati di prendere il controllo dello stesso router. Un potenziale exploit è stato reso noto lo scorso venerdì da un ricercatore che si fa chiamare Acew0rm, il quale sostiene di aver notificato la presenza del bug a Netgear lo scorso mese di agosto senza tuttavia ricevere risposta. Inizialmente si pensava che i modelli coinvolti fossero tre: R7000, R6400 e R8000, ma la lista potrebbe essere più lunga. Un altro ricercatore ha dimostrato che anche i modelli R7000P, R7500, R7800, R8500 e R9000 sono suscettibili all'hack rivelato da Acew0rm.

L'U.S. CERT Coordination Center (CERT/CC) della Carnegie Mellon University ha ratificato la falla come critica, assegnandole una valutazione di 9,3 su 10 nel Common Vulnerability Scoring System (CVSS).

Il problema deriva da un bug nell'interfaccia di gestione web-based del router e consente l'iniezione e l'esecuzione di comandi shell arbitrari su un dispositivo affetto. La vulnerabilità può essere sfruttata con una semplice richiesta HTTP che non richiede alcuna autenticazione, quindi gli hacker possono attaccare i router con attacchi cross-site request forgery (CSRF), funzionanti anche quando la parte gestionale dell'interfaccia non è collegata su internet. Convincendo l'utente ad accedere ad una pagina web sviluppata ad-hoc, gli attacchi colpiscono il browser mandando richieste non autorizzate attraverso lo stesso, forzando l'exploit del router attraverso una rete LAN.

Come vedere se il proprio modello di router è vulnerabile?

Consigliamo a tutti i possessori di modem Netgear di verificare se il proprio modello è vulnerabile attraverso una semplice procedura. Con un computer connesso al router via LAN è sufficiente scrivere nella casella degli indirizzi l'URL: http://[router_ip_address]/cgi-bin/;uname$IFS-a , laddove al posto della dicitura [router_ip_address] bisogna inserire l'IP locale. In alcuni casi, su alcuni modelli, funziona anche se si sostituisce il testo fra parentesi quadre con www.routerlogin.net o www.routerlogin.com. In ogni caso se la pagina mostra informazioni il vostro router è attualmente vulnerabile.

Cosa fare per proteggersi temporaneamente?

Netgear ha confermato la vulnerabilità sui modelli di router summenzionati e ha assicurato gli utenti che è attualmente al lavoro su un fix: "È la missione di Netgear essere leader innovativo nella connessione del mondo ad internet. Per raggiungere questa missione puntiamo a ottenere e guadagnare la fiducia di tutti gli utenti che utilizzano prodotti Netgear per la connettività", ha detto pubblicamente senza però rivelare i nomi dei router ufficialmente coinvolti.

Il CERT ha raccomandato di smettere di utilizzare i router della compagnia, se vulnerabili, fino a quando una patch ufficiale non verrà rilasciata da Netgear. Tuttavia esiste una sorta di fix temporaneo che consigliamo a tutti gli utenti che utilizzano un router vulnerabile.

Il piccolo trucchetto consiste nell'inserire nella casella degli indirizzi del browser la seguente stringa: http://[router_IP_address]/cgi-bin/;killall$IFS’httpd’ , sostituendo come sopra la scritta [router_IP_address] con il proprio IP locale. Si tratta di una soluzione drastica che sospende il funzionamento dell'interfaccia di gestione del router, ma fin quando quest'ultima è disattivata l'exploit non può prendere piede. La soluzione è inoltre temporanea: è infatti sufficiente un riavvio del router per ripristinare l'interfaccia di gestione e ritornare vulnerabili all'exploit.

Potrebbe inoltre servire cambiare l'indirizzo locale del router, solitamente 192.168.0.1 o 192.168.1.1, dal momento che gli attacchi CSRF vengono spesso effettuati su quegli IP locali.