Avete questi router ASUS? Aggiornateli subito, il malware Cyclops Blink può fare danni

Avete questi router ASUS? Aggiornateli subito, il malware Cyclops Blink può fare danni

Il malware russo Cyclops Blink attacca i router ASUS per infettarli ed entrare in possesso dei dati sui sistemi collegati. La scoperta di Trend Micro ha allertato l'azienda taiwanese che ha confezionato nuovi firmware che mettono una pezza.

di pubblicata il , alle 12:41 nel canale Sicurezza
ASUS
 

I ricercatori dell'azienda di sicurezza Trend Micro hanno scoperto una variante del malware Cyclops Blink usato per la costruzione di una botnet che ha come scopo quello di colpire i router di casa Asus. Dietro alla botnet, stando a quanto ricostruito, dovrebbe esserci il gruppo criminale Sandworm legato alla Russia.

Noto dal 2019, Cyclops Blink è un malware scritto in linguaggio C, facilmente aggiornabile per cambiare costantemente obiettivo grazie a una struttura modulare. Nel caso della variante che colpisce i dispositivi dell'azienda taiwanese, il malware è in grado di inserirsi nella memoria flash per raccogliere informazioni sensibili, dati dalla rete e molto altro ancora.


I ricercatori di Trend Micro hanno scoperto che una volta bucato il router ASUS, il malware rimane attivo in modo persistente, anche se si prova a ripristinare il router alle impostazioni di fabbrica. In grado di stabilire una serie di connessioni esterne, il malware modulare può quindi essere adattato al contesto e all'attacco da condurre. Allertata in merito, ASUS sta lavorando a una soluzione e identificato i prodotti vulnerabili:

  • GT-AC5300 con firmware sotto la versione 3.0.0.4.386.xxxx
  • GT-AC2900 con firmware sotto la versione 3.0.0.4.386.xxxx
  • RT-AC5300 con firmware sotto la versione 3.0.0.4.386.xxxx
  • RT-AC88U con firmware sotto la versione 3.0.0.4.386.xxxx
  • RT-AC3100 con firmware sotto la versione 3.0.0.4.386.xxxx
  • RT-AC86U con firmware sotto la versione 3.0.0.4.386.xxxx
  • RT-AC68U, AC68R, AC68W, AC68P con firmware sotto la versione 3.0.0.4.386.xxxx
  • RT-AC66U_B1 con firmware sotto la versione 3.0.0.4.386.xxxx
  • RT-AC3200 con firmware sotto la versione 3.0.0.4.386.xxxx
  • RT-AC2900 con firmware sotto la versione 3.0.0.4.386.xxxx
  • RT-AC1900P, RT-AC1900P con firmware sotto la versione 3.0.0.4.386.xxxx
  • RT-AC87U (EOL)
  • RT-AC66U (EOL)
  • RT-AC56U (EOL)

Al momento il flash del firmware è l'unico modo per rimuovere il malware e per questo l'azienda consiglia a tutti i possessori di router di aggiornare il software. L'azienda consiglia anche di disattivare la gestione da remoto e di cambiare le credenziali amministrative di accesso usando una password complessa. ASUS non ha un aggiornamento che impedisca al malware di infettare i dispositivi perché si sta ancora analizzando il modo in cui funziona Cyclops Blink.

Le istruzioni per procedere con il reset del dispositivo si trovano in questo bollettino di sicurezza mentre i firmware aggiornati li trovate nell'apposita sezione della pagina del vostro specifico prodotto sul sito di ASUS (sotto Assistenza per intenderci). Vi consigliamo comunque di tenere sott'occhio quel bollettino in caso di aggiornamenti da parte dell'azienda.
18 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
bancodeipugni22 Marzo 2022, 14:13 #1
disattivando l'accesso remoto rendi praticamente invulnerabile qualsiasi router di questa categoria, vulnerabilità o no...

se devi fare acceso remoto tanto vale che imposti direttamente la vpn con un cipher decente
mi meraviglio che i vari vendors accettino ancora di consentire accessi di questo genere senza impostare almeno una verifica in 2 passaggi, forse costa troppo...
giovanni6922 Marzo 2022, 14:26 #2
Non vedo alcun bollettino di sicurezza in
https://www.asus.com/ontent/ASUS-Pr...y-Advisory/%20/
bancodeipugni22 Marzo 2022, 14:28 #3
li scrivono sempre dopo che li hanno risolti, per evitare di creare "il database del bug" pronto all'uso
Goofy Goober22 Marzo 2022, 14:29 #4
Segnalo errore nell'articolo:
nelle due immagini presenti nell'articolo avete messo dei router non afflitti dal problema, l'AX88U e il Rapture GT2900, potrebbero trarre in inganno i loro proprietari
rob-roy22 Marzo 2022, 15:46 #5
Ma è confermato che se si ha l'accesso web disabilitato non si corre alcun rischio?
Perchè io ho un AC87U che è in EOL e a leggere sembra che automaticamente sarà colpito dal malware.....
demonsmaycry8422 Marzo 2022, 17:01 #6
io ho l'accesso web disabilitato....è nattato e bho dovrei essere ok ....anche se sono fortemente scontento dei miei asus da 300 euro ne ho 2 ed hanno il solito problema..ultimo firware bla bla bla ma saltuariamente si bloccano devo spengere e riaccendere...ho l impressione che sia colpa di qualcosa che gravita intorno al wifi...brutta storia...domani li resetto e riprovo a configurarli speriamo che esca un nuovo firmware
rob-roy22 Marzo 2022, 17:24 #7
Si però davvero nessuno che tra i vari articoli dica come questo malware si installi....solo a spargere panico come al solito.
Ok le info tecniche di come lavora...ma come si installa??
Incommentabile poi asus che ti dice che un modem di 7 anni da 200 e rotti euro è in EOL....
omega72622 Marzo 2022, 18:18 #8
Originariamente inviato da: demonsmaycry84
io ho l'accesso web disabilitato....è nattato e bho dovrei essere ok ....anche se sono fortemente scontento dei miei asus da 300 euro ne ho 2 ed hanno il solito problema..ultimo firware bla bla bla ma saltuariamente si bloccano devo spengere e riaccendere...ho l impressione che sia colpa di qualcosa che gravita intorno al wifi...brutta storia...domani li resetto e riprovo a configurarli speriamo che esca un nuovo firmware


Io ho un router Asus e nelle impostazioni ho impostato due riavvii programmati ogni settimana (mi pare il lunedì e il giovedì.
Non me ne accorgo nemmeno perchè li ho messi alle 4 del mattino e così facendo non ho mai avuto problemi.

Una bella svuotata alla cache ogni tanto male non fa...
bancodeipugni22 Marzo 2022, 20:26 #9
Originariamente inviato da: rob-roy
Si però davvero nessuno che tra i vari articoli dica come questo malware si installi....solo a spargere panico come al solito.
Ok le info tecniche di come lavora...ma come si installa??
Incommentabile poi asus che ti dice che un modem di 7 anni da 200 e rotti euro è in EOL....


si installa perchè i recenti router utilizzano dom con file system compresso scrivibile, probabilmente trovano la maniera attraverso l'interfaccia web di scrivere sul file system facendo sudo, anzi, neanche, perchè probabilmente admin e root sono la stessa cosa
giuvahhh23 Marzo 2022, 03:39 #10
Originariamente inviato da: demonsmaycry84
io ho l'accesso web disabilitato....è nattato e bho dovrei essere ok ....anche se sono fortemente scontento dei miei asus da 300 euro ne ho 2 ed hanno il solito problema..ultimo firware bla bla bla ma saltuariamente si bloccano devo spengere e riaccendere...ho l impressione che sia colpa di qualcosa che gravita intorno al wifi...brutta storia...domani li resetto e riprovo a configurarli speriamo che esca un nuovo firmware


hai provato i firmware merlin?
« Pagina Precedente     Pagina Successiva »

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^