Nelle scorse settimane alcuni ricercatori del Talos Intelligence Group di Cisco avevano scoperto VPNFilter un potente malware che colpisce diversi router, rendendoli inutilizzabili attraverso la riscrittura del firmware. Tuttavia in questi giorni, dopo aver analizzato in dettaglio il codice del malware, gli esperti dell'azienda californiana hanno fatto sapere di aver individuato nuove funzionalità che possono causare danni ancora più gravi ed hanno spiegato che il numero di dispositivi interessati è maggiore di quanto era previsto. In pratica inizialmente l'elenco comprendeva router e NAS di 54 Paesi e sviluppati da Linksys, MikroTik, Netgear, TP-Link e QNAP, ma ora i ricercatori di sicurezza hanno scoperto che sono stati colpiti anche diversi router prodotti da ASUS, D-Link, Huawei, Ubiquiti, UPVEL e ZTE. Inoltre anche se, come già rivelato, VPNFilter ha una struttura modulare e multi-stadio, gli esperti di Cisco hanno scoperto 2 nuovi moduli, uno dei quali permette di eseguire attacchi "man-in-the-middle", intercettando il traffico web sulla porta 80, iniettando codice infetto e soprattutto disattivando la crittografia TLS. In parole semplici in questo caso tutte le richieste HTTPS diventano richieste HTTP e quindi un potenziale malintenzionato potrebbe essere in grado di rubare le credenziali di accesso e altri dati sensibili. Motivo per il quale i ricercatori di sicurezza si sono detti sicuri che il target di VPNFilter è più ampio di quanto era stato ipotizzato: il malware può essere utilizzato non solo per interrompere la connessione ad Internet, danneggiando irreversibilmente il router, ma anche per manipolare il traffico attraverso il dispositivo compromesso; mentre, come già detto, la disattivazione della crittografia TLS semplifica, ad esempio, l'accesso agli account bancari. Ad ogni modo il secondo modulo scoperto viene invece utilizzato per attivare un vero e proprio processo di auto-distruzione: grazie al semplice comando "rm -rf /*" chi controlla il malware in questione può avviare la cancellazione dei file necessari alla normale operatività e del file system, con l'obiettivo di nascondere le tracce dell'infezione in caso di analisi forensi; anche se ovviamente il router non funzionerà più. Comunque sia, nonostante qualche giorno dopo la sua scoperta l'FBI abbia sequestrato un dominio connesso a VPNFilter, gli esperti di Talos hanno, infine, spiegato che questo malware purtroppo risulta essere ancora attivo.
*(Aggiornamento dello 08/06/2018): TP-Link ha rilasciato un comunicato ufficiale nel quale si può leggere: "TP-Link, da sempre attiva nel garantire il più alto livello di sicurezza, per quanto concerne la vulnerabilità VPNFilter recentemente portata alla luce da diversi operatori di settore, comunica di non aver rilevato alcun rischio inerente i propri prodotti. Per assicurare il massimo livello di protezione, come da best-practice, l'azienda suggerisce di verificare periodicamente la disponibilità di aggiornamenti software e firmware al link: https://www.tp-link.com/download-center.html. TP-Link consiglia, inoltre, di modificare le credenziali predefinite per l'accesso alle interfacce di configurazione dei prodotti come descritto alla pagina: https://www.tp-link.com/faq-73.html. TP-Link è costantemente al lavoro nel monitorare qualsiasi vulnerabilità, pertanto, aggiornamenti informativi e firmware/software saranno rilasciati in caso di necessità. Per qualsiasi ulteriore informazione, il Supporto Tecnico TP-Link rimane naturalmente a disposizione al link: https://www.tp-link.com/it/support-contact.html".
Commenti
Posta un commento