Ballista: la botnet di origine italiana che infetta migliaia di router TP-Link non aggiornati

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/sicure...ti_136582.html

Una nuova campagna botnet, denominata Ballista, sfrutta una grave vulnerabilità di esecuzione di codice remoto nei router TP-Link Archer AX-21 non aggiornati. La diffusione sembra essere opera di un attore di minaccia italiano

Click sul link per visualizzare la notizia.

[UtenteHD]

Grazie TP-Link che il mio router che era non aggiornato da 2 anni, grazie alla segnalazione di Utente lo avete subito aggiornato passando la gestione firmware alla sezione opensource.
Ora come si fa a capire se il router ha qualcosa che non va? Ovviamente ho pure password difficile (si spera) e firewall attivo e non da alcun problemi ne' altro, quindi chiedo per info che del futuro non si sa mai.

[moklev]

Semplice, se il tuo router è uno dei TP-Link a supportare OpenWRT riflashalo e configuralo. Se non lo è cambialo con qualcosa di un minimo decente.

[igiolo]

Quote:

Originariamente inviato da moklev

Semplice, se il tuo router è uno dei TP-Link a supportare OpenWRT riflashalo e configuralo. Se non lo è cambialo con qualcosa di un minimo decente.

*

[UtenteHD]

Quote:

Originariamente inviato da moklev

Semplice, se il tuo router è uno dei TP-Link a supportare OpenWRT riflashalo e configuralo. Se non lo è cambialo con qualcosa di un minimo decente.

Non mi sembra Tu abbia risposto alla domanda, aspettero' altri non preoccuparti.
Per il tuo discorso, ho appena detto che il mio modem e' stato messo negli aggiornamenti continuativi e periodici open della tp-link, perche' dovrei passare ad openWRT? Che senso avrebbe?

[igiolo]

Quote:

Originariamente inviato da UtenteHD

Non mi sembra Tu abbia risposto alla domanda, aspettero' altri non preoccuparti.
Per il tuo discorso, ho appena detto che il mio modem e' stato messo negli aggiornamenti continuativi e periodici open della tp-link, perche' dovrei passare ad openWRT? Che senso avrebbe?

non si capisce che hai fatto
hai aggiornato, o no?
se c'è un firmware nuovo, successivo alle CVE, ok
altrimenti openwrt se supportato

[fraussantin]

Quote:

Originariamente inviato da UtenteHD

Grazie TP-Link che il mio router che era non aggiornato da 2 anni, grazie alla segnalazione di Utente lo avete subito aggiornato passando la gestione firmware alla sezione opensource.
Ora come si fa a capire se il router ha qualcosa che non va? Ovviamente ho pure password difficile (si spera) e firewall attivo e non da alcun problemi ne' altro, quindi chiedo per info che del futuro non si sa mai.

La domanda in realtà è perche un router dovrebbe eseguire da solo un codice proveniente da remoto?

[UtenteHD]

Quote:

Originariamente inviato da igiolo

non si capisce che hai fatto
hai aggiornato, o no?
se c'è un firmware nuovo, successivo alle CVE, ok
altrimenti openwrt se supportato

MI spiace se mi sono spigato male.
Il mio router non veniva piu' aggiornato da due anni ed avevo perso la speranza.
Poi un Utente Italiano ha fatto segnalazione della cosa nel forum di TP-Link, Loro si sono scusati ed hanno aggiunto gli aggiornamenti del firmware ufficiale TP-Link alla sezione Loro Open ed e' uscito aggiornamento, ed e' rientrato negli aggiornamenti periodici. Si ho aggiornato all'ultima versione.

Quote:

Originariamente inviato da fraussantin

La domanda in realtà è perche un router dovrebbe eseguire da solo un codice proveniente da remoto?

Non penso che faccia tutto da solo, probabilmente lo fa perche' qualcuno sfrutta un bug, difetto o altro.

[igiolo]

Quote:

Originariamente inviato da UtenteHD

MI spiace se mi sono spigato male.
Il mio router non veniva piu' aggiornato da due anni ed avevo perso la speranza.
Poi un Utente Italiano ha fatto segnalazione della cosa nel forum di TP-Link, Loro si sono scusati ed hanno aggiunto gli aggiornamenti del firmware ufficiale TP-Link alla sezione Loro Open ed e' uscito aggiornamento, ed e' rientrato negli aggiornamenti periodici. Si ho aggiornato all'ultima versione.


Non penso che faccia tutto da solo, probabilmente lo fa perche' qualcuno sfrutta un bug, difetto o altro.

brev
si era un pò spiegata male
quindi tu non devi fare nulla per ora, dovresti essere a posto

[andbad]

L'unico router TP-Link buono è il router TP-Link bruciato da lanciare nel bidone dei rifiuti raee.
Non perdete tempo con firmware open o closed, buttateli e comprate qualcos'altro. Date retta a uno scemo.

By(t)e

[insane74]

domanda da niubbo: ci sono guide come questa https://www.hackingarticles.in/route...ation-testing/ che vanno a verificare l'eventuale presenza di problemi noti (ovviamente non ci sono modi di verificare uno 0-day) sul router.
ma per essere "efficaci" non dovrebbero essere eseguiti "dal di fuori"? tipo che NON sono collegato al router ma ne conosco l'IP pubblico (è il mio router, quindi lo so qual è in quel momento) e solo allora da un'altra connessione internet provo a bucare quell'IP?
mi aspetto che sulla porta WAN il router (soprattutto uno "domestico) sia più "blindato" rispetto al traffico generato sulla LAN.
un test del genere non potrebbe rilevare delle falle che in realtà sono sfruttabili solo "dall'interno" e non "dall'esterno"?
sarebbe grave ovvio, ma di sicuro enormemente meno che una falla sfruttabile direttamente dall'esterno.

PS: io ho sempre avuto Netgear o (soprattutto) Asus ma recentemente sono passato a TP-Link. per ora funziona benissimo.

[andbad]

Quote:

Originariamente inviato da insane74

PS: io ho sempre avuto Netgear o (soprattutto) Asus ma recentemente sono passato a TP-Link. per ora funziona benissimo.

Sei un folle!

By(t)e

[insane74]

Quote:

Originariamente inviato da andbad

Sei un folle!

By(t)e

ma neanche più di tanto. è tra i marchi più diffusi. il router che ho preso è una bella bestia, recente, con specifiche notevoli per il prezzo (era in offerta sull'amazzone).
si spera in un supporto FW decente e prolungato (dico a te, Netgear del piffero).

[TheDarkAngel]

Quote:

Originariamente inviato da insane74

ma neanche più di tanto. è tra i marchi più diffusi. il router che ho preso è una bella bestia, recente, con specifiche notevoli per il prezzo (era in offerta sull'amazzone).
si spera in un supporto FW decente e prolungato (dico a te, Netgear del piffero).

Diffusi perchè sono i più economici, il risparmio economico è tutto in capo al supporto del prodotto. Prendere un tplink per esporsi in rete è una pessima idea.

[andbad]

Quote:

Originariamente inviato da TheDarkAngel

Diffusi perchè sono i più economici, il risparmio economico è tutto in capo al supporto del prodotto. Prendere un tplink per esporsi in rete è una pessima idea.

Esatto. Sono poco supportati, pieni di bug, si rompono spesso e non hanno chissà quali prestazioni.
Ne ho avuti parecchi, l'unica cosa rimasta funzionante è l'alimentatore.
Per lavoro ne trovo almeno 2/3 a settimana che si resettano, si riavviano, non si riconnettono, hanno un wifi instabile e via discorrendo.

E non ho nemmeno iniziato a parlare di bug e malware.

Per contro, mi è appena arrivata notifica di un aggiornamento firmware del mio FritzBox, che ha la veneranda età di 12 anni.

By(t)e

[insane74]

Quote:

Originariamente inviato da TheDarkAngel

Diffusi perchè sono i più economici, il risparmio economico è tutto in capo al supporto del prodotto. Prendere un tplink per esporsi in rete è una pessima idea.

ci sono router economici di tutte le marche.
quindi anche un router entry-level di Asus fa schifo?
conta solo il prezzo? allora sono a posto, perché quello che ho preso io di listino fa 700€.

[TheDarkAngel]

Quote:

Originariamente inviato da insane74

ci sono router economici di tutte le marche.
quindi anche un router entry-level di Asus fa schifo?
conta solo il prezzo? allora sono a posto, perché quello che ho preso io di listino fa 700€.

Non era intuibile a parità di hw? Chiaro tutti i produttori coprano tutte le fasce.
Se hai pagato 700€ un tplink per avere quel tipo di supporto mi spiace ma sappi che è un produttore che abbandona qualsiasi top di gamma in tempi molto brevi e rimane l'unico dispositivo tra te e la rete.

[UtenteHD]

Boh, non capisco tutto il parlar male di tutti i prodotti tp-link, posso capire i piu' economici e vale per tutte le marche,.
Per il resto e' bastato fare una segnalazione nel Loro forum per riavere gli aggiornamenti per un modem un po' datato, quindi il servizio lo vedo bene.
Per la velocita' e/o qualita' non so come siete abituati Voi, ma io la cui velocita' di fibra effettevia e' gia' tanta roba e manco per scaricare 100gb di giochi al giorno serve di piu' (e' esempio) che Te ne fai? Velocita' fibra regge in pieno, va bene il suo lavoro di hub con le periferiche wan sia cavo che wifi, boh, quindi funziona ed e' pure aggiornato, poi ovvio se spendi +200 euro per un router lo hai piu' bello eh grazie.. da vedere se poi Te lo aggiornano dopo 4 o 5 anni come il tp-link su richiesta.

Per il discorso sicureza, oltre ad averlo aggiornato, basta attivare firewall che molti, anzi dagli articoli la maggioranza non attiva e non lo attiva soprattutto per la rete it di casa e/o lavoro, quindi fate voi... ed impostare una password robista alfanumerica, puoi usare quello che vuoi probabilmente, anche tp-link.

[insane74]

cercando al volo qui:
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=router

e cercando per brand abbiamo:
Netgear: 1262 vulnerabilità
Asus: 292 vulnerabilità
tp-link: 407 vulnerabilità

non ho cercato altre marche.
quindi direi che quelli da evitare assolutamente sono i Netgear.

[andbad]

Quote:

Originariamente inviato da insane74

cercando al volo qui:
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=router

e cercando per brand abbiamo:
Netgear: 1262 vulnerabilità
Asus: 292 vulnerabilità
tp-link: 407 vulnerabilità

non ho cercato altre marche.
quindi direi che quelli da evitare assolutamente sono i Netgear.

Netgear ha vulnerabilità a partire dal 2001, TP-Link dal 2012.
Cmq fate come vi pare, ma poi non apritemi un ticket se il router gli funziona male.

By(t)e