Aggiornamenti sul malware VPNFilter, il problema è peggiore del previsto

Aggiornamenti sul malware VPNFilter, il problema è peggiore del previsto

I ricercatori di sicurezza di Cisco pubblicano alcuni aggiornamenti sul malware VPNFilter che è risultato essere ancor più avanzato di quanto si pensasse e capace di compromettere più modelli di router di quelli inizialmente individuati

di pubblicata il , alle 18:41 nel canale Sicurezza
 

Nelle passate settimane è stato portato alla luce il problema di VPNFilter, un malware piuttosto sofisticato che ha colpito oltre 500 mila router consumer sparsi in tutto il mondo. I ricercatori del team di sicurezza Talos di Cisco hanno rilasciato alcuni dettagli aggiuntivi che mostrano come il problema sia più grave di quanto già non fosse in origine e che il malware ha colpito molti più modelli di router di quelli ritenuti vulnerabili inizialmente.

Tra le funzionalità più significative recentemente scoperte, vi è un modulo che può compiere attacchi attivi man-in-the-middle sul traffico web in ingresso (se non conosci l'attacco man-in-the-middle, leggi il nostro articolo di approfondimento). Un attaccante può usare questo modulo per iniettare payload dannosi nel traffico che passa attraverso il router compromesso, payload che possono essere costruiti su misura per sfruttare dispositivi specifici connessi alla rete infetta.

Il modulo può esere usato anche per modificare in maniera occulta contenuti mostrati tramite siti web. Il modulo può compiere ben altre azioni oltre alla semplice manipolazione del traffico, come ad esempio sottrare dati sensibili, ispezionando attivamente gli URL per cogliere quegli elementi indice del fatto che sulla comunicazione in corso vengono trasmesse password o altre informazioni sensibili, così da intercettare queste ultime, copiarle e inviarle ai server che gli attaccanti controllano ancora adesso. Per fare ciò il modulo cerca in maniera attiva di declassare le connessioni HTTPS in traffico HTTP in testo semplice, allo scopo di aggirare la cifratura TLS che è pensata proprio per prevenire questo genere di attacchi. Il passo successivo è quello di cambiare gli header di richiesta per segnalare che l'endpoint non è capace di interpretare connessioni cifrate.

Craig Williams, ricercatore del team Talos, ha commentato ad ArsTechnica: "Inizialmente abbiamo pensato si trattasse di un malware pensato principalmente per scopi offensivi, ma sembra che gli attaccanti siano andati oltre e che ora possono manipolare tutto ciò che passa attraverso il dispositivo compromesso".

Il report di Talos va inoltre ad approfondire alcuni elementi del comportamento del modulo packet sniffer già precedentemente infividuato. Questo modulo va a monitorare il traffico cercando dati e informazioni specifiche indirizzati a sistemi di controllo industriale che si connettono ad una VPN su router TP-Link R600, oltre a cercare connessioni verso un indirizzo IP pre-specificato. Il modulo è inoltre attento a monitorare pacchetti che sono di almeno 150byte di dimensione. "Cerca qualcosa di davvero specifico, non sta tentando di raccogliere quanto più traffico possa. E' alla ricerca di piccoli elementi particolari come credenziali e password. Non abbiamo molto oltre a questo, se non che appare essere incredibilmente mirato e sofisticato. Stiamo ancora cercando di capire su chi venga usato" spiegano i ricercatori.

Viene fatta ulteriore luce sul modulo di autodistruzione, che può ancora essere recapitato a qualsiasi dispositivo già infetto che ancora ne sia sprovvisto. L'esecuzione di questo modulo prevede anzitutto la rimozione di qualsiasi traccia di VPNFilter dal dispositivo e quindi l'esecuzione del comando "rm -rf/*" che ha l'effetto di eliminare tutto il resto del filesystem. A questo punto il dispositivo viene riavviato e reso inservibile.

Nelle scorse settimane, dopo il sequestro dei server command and control, l'FBI aveva consigliato di riavviare il router: sebbene questo suggerimento possa riuscire a neutralizzare in molti casi VPNFilter o comunque di permettere di guadagnare tempo, è bene osservare che il reboot da solo non è una misura sufficiente per risolvere il problema alla radice. Osserva a tal proposito Williams: "Sono preoccupato che l'FBI abbia diffuso tra le persone un falso senso di sicurezza. VPNFilter è ancora operativo, infetta ancor pià dispositivi di quanto si ritenesse inizialmente e le sue funzionalità vanno ben oltre a quanto avevamo originariamente pensato. Gli utenti devono eliminarlo dalle proprie reti".

Talos ha dichiarato che VPNFilter prende di mira un numero più grande di dispositivi di quanto precedentemente si ritenesse, compresi modelli prodotti da ASUS, D-Link, Huawei, Ubiquiti, UPVEL e ZTE. Il malware funziona inoltre su nuovi modelli di router di produttori già precedentemente noti per essere vulnerabili. Williams ha stimato che oltre ai 500 mila router già colpiti, altri 200 mila sono a rischio di esere infetti o sono giù stati colpiti anch'essi. I ricercatori ancora non sono riusciti a capire come i router vengano infettati allo stadio 1 del malware, ma presumono si possa trattare dello svfruttamento di vulnerabilità note per le quali probabilmente già esistono patch di sicurezza.

Non esiste un modo semplice, alla portata di tutti, per sapere se un router è compromesso da VPNFilter. Un metodo implica la ricerca tra i log del router di possibili indicatori di compromissione che Cisco elenca alla fine del suo report. Un altro metodo passa per il reverse engineering del firmware e il confronto con un firmware sano. Entrambi questi metodi sono al di fuori delle capacità della maggior parte degli utenti. E' il motivo per cui ha senso per la maggior parte delle persone presumere che il router sia comunque compromesso e quindi procedere ad una serie di operazioni che possano riportarlo ad uno stato regolare.

Le azioni da compiere per "decontaminare" il router variano da modello a modello. In alcuni casi un semplice reset alle condizioni di fabbrica pulisce completamente il router, in altri casi è necessario riavviare il dispositivo e installare immediatamente l'ultimo firmare aggiornato, se possibile senza passare da internet ma usando una connessione USB con il firmware scaricato precedentemente su una chiavetta. Se il router dovesse avere qualche anno di troppo sulle spalle, può essere il caso di considerare l'acquisto di un nuovo modello. Valgono poi, per l'operatività ordinaria, le solite regole di buonsenso: cambiare la password di default, se già non è stato fatto, e laddove possibile disabilitare le funzioni di amministrazione remota.

Direttamente dal report di Talos riportiamo di seguito l'elenco dei dispositivi vulnerabili alla compromissione con VPNFilter:

ASUS DEVICES:

RT-AC66U (new)
RT-N10 (new)
RT-N10E (new)
RT-N10U (new)
RT-N56U (new)
RT-N66U (new)

D-LINK DEVICES:

DES-1210-08P (new)
DIR-300 (new)
DIR-300A (new)
DSR-250N (new)
DSR-500N (new)
DSR-1000 (new)
DSR-1000N (new)

HUAWEI DEVICES:

HG8245 (new)

LINKSYS DEVICES:

E1200
E2500
E3000 (new)
E3200 (new)
E4200 (new)
RV082 (new)
WRVS4400N

MIKROTIK DEVICES:

CCR1009 (new)
CCR1016
CCR1036
CCR1072
CRS109 (new)
CRS112 (new)
CRS125 (new)
RB411 (new)
RB450 (new)
RB750 (new)
RB911 (new)
RB921 (new)
RB941 (new)
RB951 (new)
RB952 (new)
RB960 (new)
RB962 (new)
RB1100 (new)
RB1200 (new)
RB2011 (new)
RB3011 (new)
RB Groove (new)
RB Omnitik (new)
STX5 (new)



NETGEAR DEVICES:

DG834 (new)
DGN1000 (new)
DGN2200
DGN3500 (new)
FVS318N (new)
MBRN3000 (new)
R6400
R7000
R8000
WNR1000
WNR2000
WNR2200 (new)
WNR4000 (new)
WNDR3700 (new)
WNDR4000 (new)
WNDR4300 (new)
WNDR4300-TN (new)
UTM50 (new)

QNAP DEVICES:

TS251
TS439 Pro
Other QNAP NAS devices running QTS software

TP-LINK DEVICES: - Leggi qui la posizione ufficiale di TP-Link

R600VPN
TL-WR741ND (new)
TL-WR841N (new)

UBIQUITI DEVICES:

NSM2 (new)
PBE M5 (new)

UPVEL DEVICES:

Unknown Models* (new)

ZTE DEVICES:

ZXHN H108N (new)

 

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

9 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
bancodeipugni07 Giugno 2018, 18:57 #1
quasi tutti router senza modem

esclusi anche tutti i broadcom vdsl e i fritzbox

allora forse avere il router non tutto open source salva il culo spesso e volentieri
Dumah Brazorf07 Giugno 2018, 19:54 #2
tplink 741 e 841 (new) è un po' vago, hanno fatto millemila versioni hw.
leoben07 Giugno 2018, 20:44 #3
Nell'articolo si parla solo di router. E per quanto riguarda i nas in elenco, come si può capire se si è stati infettati dal malware? Ho un Qnap TS251, posso stare tranquillo se ho sempre usato il malware remover di Qnap?
Yramrag07 Giugno 2018, 23:19 #4
Originariamente inviato da: Dumah Brazorf
tplink 741 e 841 (new) è un po' vago, hanno fatto millemila versioni hw.


Anche Netgear DG834 è abbastanza generico, ce ne sono quante, 4? 5 versioni? (e ne ho uno pure io dei tempi dell'adsl )
s-y08 Giugno 2018, 05:57 #5
mi pare che in questo, ennesimo, caso il target siano 'banalmente' i dispositivi con le credenziali di accesso lasciate a default, e anche di conseguenza i router con il remote access abilitato. brutti vizi che temo non siano estirpabili, anche se per qualcuno tra i dispositivi in elenco si presupporrebbe un'amministrazione di qualche tipo...
gd350turbo08 Giugno 2018, 09:23 #6
I miei XIAOMI WIFI 3, non ci sono...
Bello avere cose poco conosciute in questo caso !
Gundam.7508 Giugno 2018, 10:05 #7
Il netgear DG834 l'ho utilizzato per anni prima della fibra. Adesso ho un tplink archer c2 in cascata al modem telecom che sembra essere esente dal problema.
Aggiornamenti non ce ne sono sul sito TPLINK, mi pare però che telecom abbia aggiornato il firmware del suo router fibra di recente, sarà per questo motivo?
nickname8808 Giugno 2018, 10:34 #8
Le VSR non ci sono
O almeno nella loro versione Sercomm.
leobel9608 Giugno 2018, 13:10 #9
La prima volta che sono contento di avere ancora lo stupido router Technicolor fornito da Tiscali che non permette neanche di rimuovere gli utenti collegati e fa fatica anche a fornire IP locali statici

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^