Aggiornamenti recenti Settembre 16th, 2025 4:30 PM
Dic 01, 2016 Marco Schiaffino Approfondimenti, Attacchi, Attacchi, In evidenza, Malware, News, RSS, Vulnerabilità, Vulnerabilità 2
Adesso la nuova versione del worm prende di mira i router, utilizzando proprio la vulnerabilità scoperta in Irlanda da Kenzo. I cyber-criminali, quindi, potrebbero arruolare milioni di nuovi dispostivi nelle loro botnet che potrebbero essere usati per ulteriori attacchi DDoS.
Come ci conferma Stefano Lamonato di FireEye, i router di Deutsche Telekom non sarebbero vulnerabili (o almeno non del tutto) all’attacco. Quella della società tedesca sarebbe una sorta di posizione intermedia: i dispositivi non possono essere infettati dal malware, ma subirebbero comunque delle conseguenze dall’attacco, subendo un flood che blocca la connessione.
I router di Deutsche Telekom vanno in crash in seguito all’attacco, ma non sembrano essere vulnerabili al malware.
Anche se i danni provocati in Germania sono quindi limitati, non è detto che altri paesi siano così fortunati. Il malware, infatti, si diffonde automaticamente su Internet e il percorso che seguirà è imprevedibile.
Stando a quanto riportato da BadCyber, l’attacco userebbe due tecniche diverse: una pensata per colpire dispositivi generici (videocamere e DVR) usando tre combinazioni di username e password predefinite.
La seconda, invece, prende di mira i router utilizzando la vulnerabilità della porta 7547 e usando tre diversi file progettati per colpire dispositivi con diverse architetture (due basate su MIPS, una su ARM), andando in buona sostanza a tentativi.
Nel caso dei router, una volta infettato il dispositivo Mirai esegue due comandi che, paradossalmente, chiudono la vulnerabilità: il primo (busybox iptables -A INPUT -p tcp –destination-port 7547 -j DROP) chiude la porta 7547, mentre il secondo (busybox killall -9 telnetd) disattiva il servizio telnet.
L’obiettivo di questa strategia è semplice: impedire al provider di accedere e installare in remoto un aggiornamento che possa correggere la vulnerabilità.
La buona notizia è che il malware è residente solo in memoria. Questo significa che, per rimuoverlo, è sufficiente riavviare il dispositivo.
Deutsche Telekom sta distribuendo in remoto un aggiornamento che risolve il problema e invita pertanto i suoi clienti a spegnere il loro router e riavviarlo dopo circa 30 secondi, in modo che l’eventuale malware sia rimosso (con il riavvio) e l’aggiornamento sia installato alla riaccensione del dispositivo.
Set 23, 2024 0
Lug 05, 2024 0
Apr 20, 2023 0
Mar 02, 2023 0
Set 16, 2025 0
Set 15, 2025 0
Set 15, 2025 0
Set 12, 2025 0
Set 12, 2025 0
L’intelligenza artificiale diventa non solo...Set 11, 2025 0
Il ransomware continua a dilagare e rimane la minaccia...Ago 29, 2025 0
Il prossimo 14 ottobre terminerà ufficialmente il supporto...Ago 26, 2025 0
Il mondo dell’IoT rimane uno dei più esposti alle...Ago 04, 2025 0
I chatbot basati su modelli linguistici di grandi...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Set 16, 2025 0
I ricercatori della compagnia di sicurezza Socket hanno...Set 15, 2025 0
La nuova squadra italiana per le competizioni di...Set 15, 2025 0
La scorsa settimana il CERT-AGID ha identificato e...Set 12, 2025 0
L’intelligenza artificiale diventa non solo...Set 11, 2025 0
Il ransomware continua a dilagare e rimane la minaccia...
2 thoughts on “Mirai ora attacca i router. In Italia 150.000 dispositivi a rischio”