Aggiornamenti recenti Agosto 20th, 2025 12:52 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Lenovo, il chatbot AI “Lena” era troppo loquace
- PyPI blocca i “domain resurrection”: disattivate 1.800 email
- CERT-AGID 9 – 14 agosto: gli alberghi italiani ancora sotto attacco
- Cina contro Nvidia: dubbi sulla sicurezza dei chip AI e sospetti di backdoor
- Ondata di attacchi brute-force contro le VPN Fortinet, poi FortiManager
Mirai ora attacca i router. In Italia 150.000 dispositivi a rischio
Minaccia globale
È probabile che gli Internet Provider nel resto del mondo dovranno seguire una strategia simile. Stando a quanto riportato da Kaspersky, infatti, l’attacco si starebbe allargando e avrebbe ormai raggiunto dimensioni globali.
Capire quali (e quanti) dispositivi possano effettivamente essere colpiti non è facile. Perché l’attacco abbia efficacia, serve che il router abbia la porta 7547 aperta e un server Rompager attivo.
In Italia, da una ricerca tramite Shodan (serve l’accesso) ci sarebbero circa 151.000 dispositivi che fanno riferimento a utenze collegate a operatori italiani con queste caratteristiche. La maggior parte di Telecom Italia (67.000) e di Wind (58.000).
Non tutti, però, sono necessariamente a rischio. Come ci ha spiegato Marco Carlo Spada, ingegnere iscritto all’Ordine di Pavia ed esperto di sicurezza e informatica forense, servono anche altre condizioni.
“La vulnerabilità sfruttata da Mirai risale a 2 anni fa (CVE-2014-9222) e interessa le versioni di Rompager fino alla 4.34” precisa Spada. “Questo significa che i router con firmware aggiornato dovrebbero essere immuni all’attacco”.
“Il malware stesso, d’altra parte, è programmato in modo da verificare se il dispositivo sia vulnerabile o meno. Per verificarlo, richiama uno script e controlla la risposta del router: solo se la risposta contiene una determinata stringa, procede nell’attacco”.
Da una prima analisi (per quanto superficiale) dei dispositivi presenti nel nostro paese, però, sembra che la maggior parte siano vulnerabili.
Si tratta, è bene specificarlo, di una percentuale minima rispetto all’installato degli Internet Provider, ma estremamente significativa se si guarda alle possibili conseguenze.
In Italia ci sarebbero migliaia di router potenzialmente vulnerabili all’attacco.
Nelle scorse settimane, infatti, abbiamo assistito ad attacchi DDoS devastanti che sono stati portati da reti di dispositivi compromessi che contavano “solo” 200.000 bot. Questa nuova versione di Mirai potrebbe consentire ai pirati di reclutarne qualche milione in tempi relativamente rapidi.
Ma esiste un modo per prevenire l’attacco? “Un metodo esiste ed è terribilmente semplice” conferma Marco Carlo Spada. “Basta cambiare la password di amministratore del router”.
Mirai, infatti, utilizza come password d’accesso quella predefinita, che di solito coincide con la password Wi-Fi. Il malware la recupera utilizzando uno dei comandi del protocollo TR-064 disponibili grazie al bug.
La definitiva soluzione del problema, però, arriverà solo con gli aggiornamenti dei firmware e le misure di mitigazione che metteranno in campo i singoli operatori.
SecurtyInfo.it ha contattato i due maggiori ISP coinvolti nella vicenda (Wind e Telecom Italia) per avere un commento e capire meglio quale sia il quadro della situazione. “I modem/router commercializzati da TIM non presentano vulnerabilità di questo tipo” hanno fatto sapere da Telecom.
I dati sugli utenti dell’operatore, quindi, dovrebbero riguardare clienti che stanno utilizzando un modem acquistato autonomamente o di cui erano in possesso già in precedenza.
“In ogni caso TIM ha implementato gli opportuni sistemi di sicurezza volti a limitare gli impatti derivanti da eventuali attacchi in rete, anche per i clienti che hanno scelto di acquistare autonomamente i modem/router da altri produttori e che presentano la porta TCP 7547 aperta all’esterno” prosegue Telecom. “Tali attività di monitoraggio e controllo vengono continuamente aggiornati per tener conto delle evoluzioni delle minacce”.
Wind, nel momento in cui scriviamo, non ha fatto pervenire alcun commento.
Aggiornamento 02.12.2016
Anche Wind, dopo avere ricevuto la segnalazione da parte di SecurityInfo.it, ha inviato un commento sulla situazione dei suoi utenti.
“I clienti Wind/Infostrada che impiegano dispositivi da noi forniti ci risultano non esposti alla minaccia in questione, anche grazie a particolari accorgimenti adottati nella gestione remota degli stessi dispositivi” spiegano da Wind.
“Per i clienti che non utilizzano dispositivi da noi forniti, stiamo comunque valutando eventuali soluzioni di sicurezza per aumentarne la protezione. Per questi ultimi, in attesa che possano scaricare dai siti dei produttori ed installare gli aggiornamenti firmware, il consiglio è di modificare eventuali password di default e di effettuare il reboot dei dispositivi per ripulirne la memoria volatile”.
Condividi l'articolo
Aggiornamento per Firefox. “Bug zero-day usato dai pirati”
Attacco ai trasporti di San Francisco: ora i pirati bluffano
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Cisco svela un nuovo tipo di jailbreak AI: i guardrail non... I chatbot basati su modelli linguistici di grandi... -
SafePay, cresce la minaccia ransomware contro gli MSP Tra le minacce più recenti che stanno facendo tremare il... -
Attacchi DDoS ipervolumetrici, ancora numeri da record... Gli attacchi DDoS, compresi quelli ipervolumetrici,... -
Liste di dati sul dark web: una fonte inaffidabile per le... In una recente analisi, Group-IB ha approfondito il ruolo... -
IconAds: quando le app fantasma diventano portali... Recentemente il team Satori Threat Intelligence di HUMAN ha...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Lenovo, il chatbot AI “Lena” era troppo loquace Il chatbot di assistenza clienti di Lenovo, chiamato Lena,... -
PyPI blocca i “domain resurrection”: disattivate 1.800... Il team di sicurezza della Python Software Foundation,... -
CERT-AGID 9 – 14 agosto: gli alberghi italiani ancora... Nel corso di questa settimana il CERT-AGID ha rilevato -
Cina contro Nvidia: dubbi sulla sicurezza dei chip AI e... Le tensioni tra Stati Uniti e Cina si spostano sul... -
Ondata di attacchi brute-force contro le VPN Fortinet, poi... Una nuova campagna di attacchi informatici sta prendendo di...
Ransomware: la serie
No posts found.
2 thoughts on “Mirai ora attacca i router. In Italia 150.000 dispositivi a rischio”