Link alla notizia: https://www.hwupgrade.it/news/sicurezza-software/vpnfilter-il-malware-per-router-che-intercetta-dati-e-distrugge-il-dispositivo-500-mila-casi_76117.html

Scoperto dai ricercatori di Cisco, il malware è altamente sofisticato e può consentire agli attaccanti di rendere inutilizzabile il dispositivo e di compiere altre azioni criminali

Click sul link per visualizzare la notizia.

probabile testimone in prima persona di questo o di un simile exploit su un netgear tra questi modelli di un utente di un'azienda cliente: cercando di raggiungere il server email aziendale protetto via https, veniva segnalato da outlook un certificato una serverfarm spagnola, anzichè quello originario: non c'erano dns e file host che tenevano, e il nome veniva risolto correttamente: tipico attacco mitm. Via tethering col cellulare invece, nessun problema.

Inoltre mi è successo con un paio di router dlink, sempre di clienti, di essere di punto in bianco brikkati con l'unica opzioni di sostituirli. :muro:

Oggiorno, ritengo sia da "pazzi" (in senso buono ovviamente) usare pop3, imap o smtp non cifrati e sono sempre + convinto del fatto che i router soho oggigiorno in commercio siano praticamente spazzatura, dal punto di vista della sicurezza.

Sopreso negativamente da mikrotik, a mio avviso tutt'altro che soho

Sopreso negativamente da mikrotik

in effetti non è soho
ad ogni modo diciamo che negli anni, i loro bravi bug ho avuto modo di incontrarli (oltre ad una particolarmente tignosa procedura per aggiornare le licenze)
anche se in questo caso è diverso ovviamente

btw, come non scordare il 'malware' (che poi era semplicemente un banalissimo scriptino) che un paio di anni fa ha resettato la roba ubiquiti (altro non strettamente soho) ovunque?

poi oh, nessuno è esente dai bug

poi certo, appunto questo caso è a parte

Si ricordo la mattanza ubiquiti di un paio d'anni fa: personalmente non mi ha toccato ma di norma non lascio mai l'if di management sulla vlan1 o sulla rete si default ove possibile, pace se poi deco mettere uno swichetto managed e taggare un paio di porte al posto di uno unmanaged e lasciare tutto "verto" :D

Sta di fatto che i prodotti consumer si sono evoluti molto nelle features (nas, router, cam.) I prezzi ora sono accessibili, il design ricercato bla bla bla, e dove é che resta da tagliare se non nello sviluppo del software o del post-vendita?

Per esempio della dlink io non comperei nemmeno una scatola di fiammiferi...

Quando ho letto "legato al governo russo" ho smesso di leggere. I malware non si sa quasi con sicurezza da dove provengano, lo si sa solo se la propaganda USA si è messa in moto.

Response to Claims of VPNFilter Malware Infections: Security Concerns Were Addressed in 2017

Taipei, Taiwan, May 24, 2018 – QNAP Systems, Inc. (QNAP) today issued a statement in response to recent claims that QNAP NAS is prone to malware infections by a program called “VPNFilter”. QNAP has been aware of the presence of VPNFilter since 2017 - and has addressed the issue with updates to the QTS operating system and the QNAP NAS Malware Remover application. This solution has been in place since mid-2017. The QNAP Security Response Team continuously investigates all security threats and releases updates as necessary to safeguard QNAP NAS users from the impact of malware and attacks.

Si ricordo la mattanza ubiquiti di un paio d'anni fa: personalmente non mi ha toccato ma di norma non lascio mai l'if di management sulla vlan1 o sulla rete si default ove possibile, pace se poi deco mettere uno swichetto managed e taggare un paio di porte al posto di uno unmanaged e lasciare tutto "verto" :D

eh, diciamo che dopo quel frangente in molti hanno come dire cambiato policy, e/o 'privatizzato' ip statici precedentemente pubblici :fiufiu: :D


Sta di fatto che i prodotti consumer si sono evoluti molto nelle features (nas, router, cam.) I prezzi ora sono accessibili, il design ricercato bla bla bla, e dove é che resta da tagliare se non nello sviluppo del software o del post-vendita?

Per esempio della dlink io non comperei nemmeno una scatola di fiammiferi...

penso sia soprattutto, ma sempre supporto/sviluppo è, perchè non vengono più aggiornati, es le ip cam, 'na strage...
e tra l'altro vanno anche a 'sporcare' il nome dell'os che ci gira dentro quasi sempre

Quando ho letto "legato al governo russo" ho smesso di leggere. I malware non si sa quasi con sicurezza da dove provengano, lo si sa solo se la propaganda USA si è messa in moto.

È per forza russo, quelli della NSA sono messi direttamente dentro Windows :O

Domani è meglio se vado a cambiare il DGN2200 che c'è in un ente che seguo, conoscendo i dipendenti :muro:

Riguardo ai Dlink brickati, so che succedeva con password di default! Qualche simpaticone che si divertiva con poco (qualche mese fa lo hanno fatto anche con i DVR delle IPcam, non ricordo la marca).

Il mio router è salvo da questo exploit, è già stato compromesso da uno precedente. :asd:

Certo che se la gente imparasse a cambiare le credenziali di default questo non succederebbe (succederebbe lo stesso se non si aggiornano i firmware ma lasciare le credenziali di accesso di default e' un invito a nozze per questi malware). :(

Fastweb aggiorna i modem da remoto? Non vedo neanche la versione da interfaccia..

[...]
Sopreso negativamente da mikrotik, a mio avviso tutt'altro che soho

Non c'è motivo di esserlo nei confronti di Mikrotik, e purtroppo nemmeno della negligenza degli utenti, che è innegabilmente abbastanza comune:


MikroTik official statement: "Cisco informed us on May 22nd of 2018, that a malicious tool was found on several manufacturer devices, including three devices made by MikroTik. We are highly certain that this malware was installed on these devices through a vulnerability in MikroTik RouterOS software, which was already patched by MikroTik in March 2017. Simply upgrading RouterOS software deletes the malware, any other 3rd party files and closes the vulnerability. Let me know if you need more details. Upgrading RouterOS is done by a few clicks and takes only a minute."

uno dei motivi per cui deve passare la legge sul "modem libero".
i router forniti dai vari provider sono generalmente pessimi e generalmente poco / per nulla aggiornati.

io ho TIM Fibra col loro "scolapasta" cui ho disattivato tutto (tranne il firewall integrato, posto che serva a qualcosa) e in cascata un router Asus aggiornato con AI Protection attiva / firewall attivo ecc (posto che servano a qualcosa).

ora, se anche l'Asus fosse "sicuro" come dispositivo, visto che comunque deve passare per lo "scolapasta" di cui non so "nulla", uno come fa a sentirsi "sicuro"? se lo "scolapasta" è compromesso perché non patchato da TIM (o simili), che mi serve l'Asus aggiornato e "sicuro"?

PS: nella sezione "AI Protection", nel riepilogo degli "attacchi", ogni giorno c'è sempre un bel po' di attività (vari tentativi di sfruttare exploit eccetera).

uno dei motivi per cui deve passare la legge sul "modem libero".
i router forniti dai vari provider sono generalmente pessimi e generalmente poco / per nulla aggiornati.

io ho TIM Fibra col loro "scolapasta" cui ho disattivato tutto (tranne il firewall integrato, posto che serva a qualcosa) e in cascata un router Asus aggiornato (anche se pure Asus è lentina: ultimo aggiornamento di febbraio) con AI Protection attiva / firewall attivo ecc (posto che servano a qualcosa).

Questo è uno dei motivi che mi fanno desistere dal cambiare provider e tecnologia di connessione.