Milioni di router Wi-Fi domestici sono sotto attacco da parte di malware botnet, appena una settimana dopo che un ricercatore ha pubblicato un post sul blog che mostra come sfruttare una vulnerabilità nel firmware dei router.
Il ricercatore, Evan Grant, non è del tutto in colpa per questo. È lui che ha trovato il difetto (numero di catalogo CVE-2021-20090) a gennaio , dopo aver smontato un router a marchio Buffalo venduto in Giappone. Una patch che risolve il difetto del firmware è stata rilasciata da Buffalo ad aprile, dopo che Tenable, l’azienda per cui lavora Grant, ha informato Buffalo.
Il problema è che almeno altri 36 modelli di router distribuiti da 20 aziende diverse hanno difetti identici o molto simili e le patch del firmware potrebbero non essere ancora disponibili per tutti. Poche persone sanno che è necessario aggiornare il firmware del router proprio come è necessario aggiornare il computer o il telefono.
Alcuni di questi router possono essere noleggiati ai clienti da fornitori di servizi Internet (ISP). In tal caso, gli ISP saranno responsabili degli aggiornamenti del firmware.
I router interessati includono modelli distribuiti da Asus, British Telecom, Buffalo, Deutsche Telekom, O2, Orange, SparkNZ, TelMex, Telstra, Telus, Verizon e Vodafone, tra gli altri marchi,”interessano potenzialmente milioni di dispositivi in tutto il mondo”, secondo un Post del blog sostenibile prima pubblicato ad aprile e un successivo White paper sostenibile.
Modelli di router af fetto da questo difetto
Ecco un elenco completo dei modelli interessati noti e del firmware interessato:
Come puoi intuire dal numero di compagnie telefoniche di queste marche, una buona parte dei modelli interessati sono modem combinati con gateway DSL all-in-one/router forniti o noleggiati ai clienti da fornitori di servizi Internet.
Altri usano Fios o connessioni dati cellulari per ottenere l’accesso a Internet, ma quasi tutti sono router combinati con qualche forma di modem a banda larga, non router autonomi che necessitano di un modem separato per ottenere l’accesso a banda larga.
p>Questi router sono stati tutti prodotti dal produttore di tecnologia taiwanese Arcadyan e poi distribuiti con altri nomi come parte di un accordo”white label”.
L’exploit è quello che viene chiamato”vulnerabilità di attraversamento del percorso”in cui il tentativo di accedere in remoto a determinati file nel file system del router ti porterà a un file che può essere alterato, dando all’attaccante il controllo sul router da lontano.
Il router Verizon ha un aggiornamento del firmware? Resta sintonizzato
Sembra che uno dei modelli interessati sia il Verizon Fios G3100, una combinazione modem/router Fios da $ 300. Non siamo riusciti a trovare alcuna pagina sul sito Web di Verizon che potrebbe offrire un aggiornamento del firmware, quindi abbiamo avviato una chat con un rappresentante dell’assistenza Verizon.
Il rappresentante dell’assistenza ci ha rimandato a una chat con il team tecnico, che ha insistito sul fatto che”assicuriamo che le nostre apparecchiature e i nostri servizi siano sicuri a tutti i livelli”e che i clienti le cui apparecchiature erano interessate da qualsiasi difetto sarebbero stati contattati tramite messaggio di testo.
Abbiamo chiesto al tecnico in chat se il firmware del Verizon Fios G3100 fosse stato aggiornato per correggere il difetto CVE-2021-20090. Il tecnico ha risposto di non avere la”conoscenza approfondita”per la risposta e ci ha fornito la pagina di contatto generica di Verizon.
Abbiamo inviato una richiesta via e-mail ai rappresentanti della stampa di Verizon e aggiorneremo questa storia quando riceveremo una risposta.
E i modelli Asus?
Era un po’più facile trovare pagine web con aggiornamenti firmware per i quattro modelli Asus citati da Tenable come potenzialmente vulnerabili. Sfortunatamente, nessuno dei quattro sembra aver ricevuto nuovi aggiornamenti almeno da dicembre 2018.
Ecco i link alla pagina di aggiornamento del firmware di ciascun modello, se desideri ricontrollare più tardi: DSL-AC88U, DSL-AC87VG, DSL-AC3100 e DSL-AC68VG.
Un grave difetto
Grant ha pubblicato il suo post sul blog, che conteneva informazioni su come sfruttare il difetto, il 3 agosto. Il 6 agosto, i ricercatori di hardware di rete creatore Juniper Networks ha affermato che un noto team di malware ha incorporato i metodi di Grant nel suo arsenale e li sta utilizzando per attaccare i router basati su Arcadyan.
Il team di malware sta infettando i router con una variante del botnet Mirai, individuata per la prima volta nel L’estate del 2016 e ha portato ad alcuni attacchi diffusi in autunno. Una volta infettati, i router funzioneranno correttamente, ma potrebbero anche essere usati segretamente dai criminali per inviare spam o lanciare DDoS (Distributed Denial of Service).
Uno dei modelli Buffalo, il WSR-2533DHPL2, contiene altri due difetti del firmware, per i quali il post sul blog di Tenable includeva exploit di prova. Buffalo ha rilasciato aggiornamenti del firmware anche per questi.
“Il venditore che ti vende il dispositivo non è necessariamente quello che lo ha prodotto”, ha affermato Grant nel suo post sul blog.”Se trovi bug nel firmware di un router consumer, potrebbero potenzialmente interessare molti più fornitori e dispositivi rispetto a quello che stai cercando.”
