Scoperta una grave vulnerabilità in oltre 700.000 router.


In questi giorni il ricercatore di sicurezza Kyle Lovett ha fatto sapere di aver scoperto una grave vulnerabilità presente in oltre 700.000 router forniti agli abbonati dagli Internet Service Provider, (noti anche con la sigla ISP), in diversi Paesi, (tra cui anche l'Italia). In pratica il bug in questione, nascosto in un componente del firmware dei router, può essere sfruttato per eseguire un attacco di tipo "directory traversal", il quale permette ad un malintenzionato di accedere al dispositivo da remoto ed effettuare diverse operazioni "maligne", tra cui il furto dei dati di login ed il cambio dei DNS. Ma non è tutto: questa vulnerabilità è stata individuata nel componente webproc.cgi, il che significa che può essere sfruttata per estrarre informazioni dal file config.xml, presente sui router esaminati e contenente i parametri di configurazione. Si tratta di un file in cui vengono scritti diversi dati sensibili, come, ad esempio, i cosiddetti hash delle password per l'amministratore ed altri account, username e password per la connessione al provider ADSL, (con protocollo PPPoE), le credenziali client e server per il protocollo di gestione remota TR-069, usato da alcuni ISP, e la password per la rete wireless, (se il router integra un access point Wi-Fi). Quindi, come già anticipato, se un malintenzionato riesce ad effettuare l'accesso come amministratore può modificare gli indirizzi DNS: l'utente che visita un sito web legittimo può ritrovarsi su una pagina piena di malware. Tra l'altro su alcuni modelli non è nemmeno necessario sfruttare il bug in questione per accedere al file config.xml, in quanto basta conoscere l'indirizzo esatto, (ovvero l'URL), della sua posizione. Come se non bastasse, un quarto dei router analizzati consente anche il cosiddetto "dump" della memoria in cui sono conservati in chiaro varie informazioni, come le password di accesso ai siti. Comunque sia l'elenco dei modelli di router coinvolti, (usati principalmente dagli ISP in Colombia, India, Argentina, Thailandia, Moldavia, Iran, Perù, Cile, Egitto, Cina ed Italia), comprende: ZTE H108N ed H108NV2.1; D-Link 2750E, 2730U e 2730E; Sitecom WLM-3600, WLR-6100 e WLR-4100; FiberHome HG110; Planet ADN-4101; Digisol DG-BG4011N; ed Observa Telecom BHS_RTA_R1A. Tuttavia non è possibile conoscere quali ISP forniscono questi router ai loro abbonati, in quanto molto spesso vengono usati nomi differenti; anche se è certo che la maggioranza di essi integra un firmware realizzato dall'azienda cinese Shenzhen Gongjin Electronics. Tuttavia attualmente non è noto se quest'ultima abbia già distribuito una patch ai suoi partner: gli utenti dovrebbero verificare da sé l'esistenza di un firmware aggiornato oppure, infine, chiedere informazioni al proprio provider ADSL.

Commenti