Software ASUS Live Update bucato: 1 milione di utenti a rischio [Agg. con posizione di ASUS]

Software ASUS Live Update bucato: 1 milione di utenti a rischio [Agg. con posizione di ASUS]

Centinaia di migliaia di utenti ASUS, forse anche oltre un milione, sono rimasti vulnerabili per mesi ad una falla scoperta nel servizio ASUS Live Update

di pubblicata il , alle 12:21 nel canale Sicurezza
ASUS
 

La società di sicurezza informatica Kaspersky ha reso pubblica una nuova Advanced Persistent Threat (APT) che potrebbe aver coinvolto più di un milione di utenti dispositivi ASUS in tutto il mondo. Dietro alla "minaccia persistente", definita ShadowHammer, sembra esserci un gruppo di hacker che ha alterato il software ASUS Live Update Utility in modo da iniettare una backdoor nei sistemi individuati. Il tutto fra Giugno e Novembre del 2018.

Per scoprire se il tuo computer è vulnerabile a ShadowHammer puoi usare il tool online di Kaspersky.

ROG Strix SCAR II

ASUS Live Update Utility è uno strumento integrato su tutti i sistemi ASUS, siano essi notebook o desktop, per l'installazione degli aggiornamenti dei software installati. Il team alla base di ShadowHammer è riuscito ad aggirare le protezioni delle soluzioni di sicurezza più importanti firmando le versioni alterate dello strumento attraverso certificati digitali legittimi rubati da ASUS, distribuendo così il software malevolo all'interno dei server dell'azienda.

Secondo quanto rinvenuto da Kaspersky ShadowHammer ha preso di mira sistemi specifici basandosi su una lista di indirizzi MAC univoci: "Oltre 57 mila utenti dei nostri sistemi di sicurezza hanno scaricato e installato la versione di ASUS Live Update con la backdoor iniettata", ha scritto l'azienda. "Non siamo in grado di calcolare il conteggio totale degli utenti coinvolti, tuttavia stimiamo che la scala reale del problema sia molto più grande, e abbia coinvolto più di un milione di utenti in tutto il mondo".

Quasi la metà dei sistemi rilevati da Kaspersky provengono da Russia, Germania e Francia, tuttavia è da indicare che questi numeri potrebbero essere influenzati dalle quote di mercato di Kaspersky e ASUS in quelle specifiche nazioni. Il server del dominio associato all'attacco, asushotfix.com, è comunque di origini russe. La backdoor è stata scoperta grazie all'aggiornamento dello strumento di protezione di Kaspersky e il documento completo sull'attacco verrà presentato in Aprile al Security Analyt Summit di Kaspersky.

ShadowHammer fa parte dei cosiddetti "supply-chain attacks", ovvero attacchi che puntano a compromettere l'infrastruttura che distribuisce aggiornamenti software o per la gestione delle operazioni necessarie per lo sviluppo software. Si tratta di un tipo di aggressione fortemente in aumento in questo ultimo periodo: lo scorso ottobre sono stati scoperti due attacchi simili, uno sul pannello di controllo VestaCP per la gestione degli ambienti di hosting, l'altro su una repository di codice Python. Attraverso un attacco di questo tipo è possibile diffondere codice in maniera estesa su un numero di sistemi molto ampio, rendendo gli stessi sistemi facili da individuare e al tempo stesso vulnerabili all'attacco remoto.

Kaspersky ha scoperto ShadowHammer a Gennaio e ha subito riportato l'irruzione nell'infrastruttura ad ASUS e ad altri tre produttori asiatici coinvolti nello stesso problema. ASUS dovrebbe rilasciare una nota pubblica nelle prossime ore.

AGGIORNAMENTO con posizione di ASUS

Come preannunciato ASUS ha rilasciato una dichiarazione ufficiale in materia. La riportiamo nella sua interezza qui di seguito:

Gli Advanced Persistent Threat (APT) sono degli attacchi lanciati da gruppi di hacker che portano il medesimo nome, colpiscono a livello nazionale e nella maggior parte dei casi arrivano da alcuni paesi specifici. Gli attacchi hanno come primario obiettivo utenti quali organizzazioni o entità internazionali anziché i consumatori.

ASUS Live Update è uno strumento proprietario fornito con i notebook ASUS per garantire che il sistema possa beneficiare sempre dei driver e firmware più recenti. Una quantità limitata di dispositivi è stata impattata con un codice maligno attraverso un attacco sofisticato sui server di Live Update, nel tentativo di colpire un gruppo di utenti molto piccolo e specifico. Il servizio clienti ASUS ha contattato gli utenti interessati e fornito assistenza al fine di eliminare qualunque rischio di sicurezza.

ASUS ha anche implementato una correzione nell'ultima versione (versione 3.6.8) del software Live Update, introdotto diversi meccanismi di verifica della sicurezza per impedire qualsiasi manipolazione dannosa sotto forma di aggiornamenti software o altri mezzi e implementato un meccanismo di crittografia end-to-end. Allo stesso tempo, l’azienda ha anche aggiornato e rafforzato la propria architettura software server-to-end-user per prevenire attacchi simili in futuro.

ASUS ha creato uno strumento diagnostico di sicurezza online per verificare i dispositivi interessati e incoraggia gli utenti a eseguirlo in modo precauzionale. Lo strumento è disponibile qui.

Per qualsiasi altro dubbio contattare il servizio clienti ASUS.

Ulteriori informazioni sugli attacchi APT sono disponibili qui

19 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
s-y26 Marzo 2019, 12:34 #1
a prescindere dalla tipologia di infezione, che trovo piuttosto inaccettabile (e di questo passo andrà sempre peggio dato che tutto è sempre più in remoto/cloud) trovo che lo sia ancora maggiormente il fatto che a divulgare la notizia, quasi un anno dopo, sia un'azienda che si occupa di sicurezza, con (comprensibili, dal loro punto di vista) scopi pubblicitari
nickname8826 Marzo 2019, 12:37 #2
Sempre simpatico constatare che c'è gente che manco sa come aggiornare in autonomia e si affida a certi software, per giunta di Asus sta volta.
Di quest'ultima ho sempre preso l'HW ma mi son sempre tenuto lontano dal SW.
alexbilly26 Marzo 2019, 12:43 #3
quindi se ho capito bene il problema riguarda chi si affida al sw asus per aggiornare il prodotto... sono salvo
Averell26 Marzo 2019, 12:50 #4
ma la cosa più grave di tutta la faccenda è che ASUS, in prima battuta (ma anche in seconda), abbia tentato di far passare sotto silenzio quanto emerso
(vedi [U]ad es[/U] anche
Link ad immagine (click per visualizzarla)
ma non solo visto che on line ci sono altre testimonianze).

D'altro canto è tutto in linea con altri episodi recenti dove hanno avuto addirittura il coraggio di sostenere, di fronte alla scoperta di gravi vulnerabilità [s]di tipo EoP[/s] nei loro software (che controllavano le "lucine", giusto x conoscenza), che in definitiva loro "[I]si intendevano solo di hardware[/I]" (per cui in poche parole non avevano capacità/stimoli per chiudere le falle).

Ripeto:
fantascienza o realtà[B][SIZE="6"]?[/SIZE][/B]

Quest'ultima giustificazione semmai è stata addotta anche da un altro produttore hardware di caratura globale (come a dire: sai, in fondo lo fanno anche altri, consolati)...
inited26 Marzo 2019, 12:51 #5
Non è solo Kaspersky, l'articolo di ieri di Vice menziona una conferma ricevuta anche dai ricercatori di Symantec.
Opteranium26 Marzo 2019, 13:21 #6
mi chiedo come si possa usare un pc con tutto il crapware installato di default.. la prima cosa che faccio dopo l'acquisto è il formattone.

Cmq bella figura cacina, asus..
s-y26 Marzo 2019, 13:33 #7
non saper fare da soli non è necessariamente una colpa, ed è chiaro che fare da sè ti esclude dal problema (da questo almeno) ma se l'informatica fosse usata solo da chi sa gestirla, la storia sarebbe stata molto diversa

a questo punto stacchiamo tutte le prese, tanto la sicurezza assoluta non esiste

curioso cmq di leggere il comunicato ufficiale, che chissà se sarebbe stato fatto con queste (previste, almeno) tempistiche
alexbilly26 Marzo 2019, 13:33 #8
Originariamente inviato da: Opteranium
mi chiedo come si possa usare un pc con tutto il crapware installato di default.. la prima cosa che faccio dopo l'acquisto è il formattone.

Cmq bella figura cacina, asus..


ora che mi ci fai pensare ho sostituito il disco a piatti con un ssd al d1 sul notebook
Averell26 Marzo 2019, 13:50 #9
Originariamente inviato da: Averell
...D'altro canto è tutto in linea con altri episodi recenti dove hanno avuto addirittura il coraggio di sostenere, di fronte alla scoperta di gravi vulnerabilità [s]di tipo EoP[/s] nei loro software...che in definitiva loro "[I]si intendevano solo di hardware[/I]" ...

et voilà, 22.12.18:
https://www.hwupgrade.it/forum/showpost.php?p=45962838&postcount=34562

da cui, dopo il rimpallo su Bleepingcomputer, si arriva a https://www.secureauth.com/labs/adv...vulnerabilities (tutt'ora non fixate da quanto sembra di capire).
E' spettacolare peraltro la timeline (li hanno presi anche per il (° dai).

Meglio non fa cmq anche Gygabyte, evidentemente solita pasta: https://www.secureauth.com/labs/adv...vulnerabilities

[LIST]
[*]2018-05-16: Gigabyte Technical support team answered that Gigabyte is a hardware company and they are not specialized in software
[/LIST]

(e non risolte neppure queste).



Quello che in definitiva sto dicendo?
Che si vuole ben altro che una dichiarazione pubblica (quella al limite è adatta per le testate giornalistiche che hanno cosi' materiale per scrivere nuovi pezzi), la "gente" vuole rispetto e professionalità e non essere presa per il c u l o...
inited26 Marzo 2019, 14:11 #10
Non è nemmeno la questione della dichiarazione pubblica, Kaspersky ha incontrato un rappresentante di Asus e inizialmente c'erano stati contatti ma poi hanno detto che Asus ha smesso di rispondere ed ha anzi negato il coinvolgimento dei propri server e certificati.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^