VPNFilter, FBI consiglia a tutti di riavviare i router per eliminare parte del malware

VPNFilter, FBI consiglia a tutti di riavviare i router per eliminare parte del malware

Riavviare il router e cambiare le password di default sono i consigli principali delle Autorità USA per eliminare VPNFilter, il malware che ha colpito 500 mila access point in tutto il mondo

di pubblicata il , alle 14:01 nel canale Sicurezza
 

La FBI sta consigliando agli utenti di riavviare i propri router e i NAS in modo da contrastare l'efficacia del malware russo che ha già infettato centinaia di migliaia di dispositivi. A rivelare la diffusione del malware noto come VPNFilter è stato il team di sicurezza Talos di Cisco lo scorso mercoledì, all'interno di un documento rilasciato al pubblico in cui si leggeva che 500 mila unità di dispositivi realizzati da Linksys, Mikrotik, Netgear, QNAP e TP-Link fossero vulnerabili al nuovo exploit. VPNFilter permette di raccogliere dati, lanciare attacchi e anche distruggere in maniera permanente i dispositivi violati con un singolo comando. Ne abbiamo parlato diffusamente qui.

Secondo il report iniziale il malware è stato sviluppato da hacker in collaborazione con un ente governativo di una nazione avanzata, forse proprio la Russia, con il documento che consigliava agli utenti di eseguire un ripristino ai dati di fabbrica o, almeno, di riavviare i router.

In seguito sono trapelati ulteriori dettagli sul software malevolo, con il Daily Beast che ha scritto che di fatto il malware è stato sviluppato da un gruppo di hacker russo noto come Sofacy, Fancy Bear, APT 28 o Pawn Storm. Nell'articolo si leggeva che la FBI aveva sequestrato un dominio internet che VPNFilter utilizzava come backup per consegnare ulteriori stadi del malware ai dispositivi già infetti con il primo exploit divulgato. Così facendo sono stati resi inefficaci gli stadi 2 e 3 del malware, che non sopravvivono al riavvio, diversamente dallo stadio 1 che rimane in maniera persistente. 

Ma, una volta che il dispositivo viene riavviato, lo stadio 1 cerca di contattare un indirizzo remoto non più disponibile e l'attacco non produce effetti. Il consiglio della FBI è comunque unanime e non è solo rivolto agli utenti dei router vulnerabili: "La FBI raccomanda a tutti i possessori di router consumer per le case o i piccoli uffici di riavviare i propri dispositivi per eliminare temporaneamente il malware e aiutare nella potenziale identificazione dei dispositivi infetti. Ai possessori consigliamo di disattivare le impostazioni di gestione remota sui dispositivi e utilizzare password sicure e poco vulnerabili, attivando le modalità di cifratura", ha fatto sapere l'autorità USA.

Inoltre, la FBI consiglia anche di aggiornare i firmware alle ultime versioni disponibili. La paura è che il malware possa diffondersi anche su altri router e non solo su quelli segnalati dai primi report, anche perché ad oggi non è noto il modo in cui i dispositivi compromessi hanno ricevuto il malware in origine. Si sospetta lo sfruttamento di vulnerabilità note e che siano stati colpiti gli accessori con password di default non modificate dagli utenti. I modelli attualmente coinvolti sono 14 (Linksys E1200, Linksys E2500, Linksys WRVS4400N, Mikrotik RouterOS, versioni 1016, 1036, e 1072, Netgear DGN2200, Netgear R6400, Netgear R7000, Netgear R8000, Netgear WNR1000, Netgear WNR2000, QNAP TS251, QNAP TS439 Pro, NAS QNAP con il software QTS, TP-Link R600VPN), ma c'è il dubbio che il malware possa diffondersi anche su altri accessori di rete.

I consigli della FBI sono i più semplici da operare in questi casi: il riavvio del router, l'aggiornamento del firmware, la modifica della password default e la disabilitazione della gestione da remoto sono operazioni che possono essere portate a compimento in 15 minuti e (quasi) alla portata di tutti. Non risolvono tuttavia il problema alla sua base, come avevamo segnalato nel nostro precedente approfondimento: Cisco infatti aveva sottolineato come il riavvio non rimuovesse permanentemente il malware, mantenendone attivo lo stadio 1. Per eliminare anche questo è necessario eseguire un ripristino alle condizioni di fabbrica, che rimuove permanentemente il malware e, naturalmente, anche tutte le impostazioni salvate dagli utenti.

 

8 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
nickname8828 Maggio 2018, 14:39 #1
ma veramente c'è qualcuno che ha tenuto la psw di default ?
Cfranco28 Maggio 2018, 14:55 #2
Originariamente inviato da: nickname88
ma veramente c'è qualcuno che ha tenuto la psw di default ?


Nei vari uffici e aziende direi il 90%
Folgore 10128 Maggio 2018, 18:05 #3
Quindi chi ha cambiato la password non dovrebbe correre rischi, giusto? A casa ho un DGN2200, già riavviato, ma di aggiornamenti firmware non ce ne sono.

In ufficio i NAS li ho già riavviati e aggiornati venerdì mentre per il Cisco dovrebbe esserne immune ma ho riavviato anche lui per sicurezza.
HomerJS28 Maggio 2018, 21:12 #4
Sono vulnerabili anche anche avendo OpenWrt? O basta non avere le credenziali standard? Magari ho perso qualche info precedente
MaxFabio9328 Maggio 2018, 21:54 #5
Originariamente inviato da: Folgore 101
Quindi chi ha cambiato la password non dovrebbe correre rischi, giusto? A casa ho un DGN2200, già riavviato, ma di aggiornamenti firmware non ce ne sono.

In ufficio i NAS li ho già riavviati e aggiornati venerdì mentre per il Cisco dovrebbe esserne immune ma ho riavviato anche lui per sicurezza.


Basta non dare accessi non autorizzati e non c'è nessun problema, l'infezione si prende accettando o facendo qualche azione, non a caso, se si conosce un minimo il settore informatico non ci sono problemi
Folgore 10128 Maggio 2018, 23:17 #6
Originariamente inviato da: HomerJS
Sono vulnerabili anche anche avendo OpenWrt? O basta non avere le credenziali standard? Magari ho perso qualche info precedente


Se leggi il precedente articolo dice: "Il primo stadio operativo del malware comprende la compromissione di dispositivi provvisti di firmware basato su Busybox e Linux ed è compilato per varie architetture di CPU."

Presumo che anche OpenWrt potrebbe essere a rischio, ma aspetta pareri dai più informati.

Originariamente inviato da: MaxFabio93
Basta non dare accessi non autorizzati e non c'è nessun problema, l'infezione si prende accettando o facendo qualche azione, non a caso, se si conosce un minimo il settore informatico non ci sono problemi


Le connessioni WiFi sono vincolate con password + indirizzo MAC quindi sono connessi solo utenti conosciti, la gestione remota è disabilitata e quindi anche da qui non entra nessuno, port forwarding non ne ho impostati, mi rimane il dubbio se si possa compromettere il sistema dando qualche consenso in qualche sito malevolo, cosa che non posso completamente controllare visto che non sono l'unico utilizzatore.
Tozzo7229 Maggio 2018, 02:01 #7
Originariamente inviato da: nickname88
ma veramente c'è qualcuno che ha tenuto la psw di default ?

Direi piuttosto: ma veramente c'è qualcuno che cambia le password di default?
Io nel mondo reale (escludendo quindi conoscenze virtuali) conosco poche persone che sanno che il router ha una password, pochissime che l'hanno utilizzata e nessuno che l'ha cambiata.
nickname8829 Maggio 2018, 07:40 #8
Originariamente inviato da: Cfranco
Nei vari uffici e aziende direi il 90%

Non sò in che azienda stai, ma le psw internet dei router vengono cambiate rispetto a quelle di default, spesso con sigle inerenti al nome dell'azienda o che rispettano una loro policy interna.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^