Aggiornamenti recenti Luglio 26th, 2024 2:16 PM
Dic 01, 2016 Marco Schiaffino Approfondimenti, Attacchi, Attacchi, In evidenza, Malware, News, RSS, Vulnerabilità, Vulnerabilità 2
È probabile che gli Internet Provider nel resto del mondo dovranno seguire una strategia simile. Stando a quanto riportato da Kaspersky, infatti, l’attacco si starebbe allargando e avrebbe ormai raggiunto dimensioni globali.
Capire quali (e quanti) dispositivi possano effettivamente essere colpiti non è facile. Perché l’attacco abbia efficacia, serve che il router abbia la porta 7547 aperta e un server Rompager attivo.
In Italia, da una ricerca tramite Shodan (serve l’accesso) ci sarebbero circa 151.000 dispositivi che fanno riferimento a utenze collegate a operatori italiani con queste caratteristiche. La maggior parte di Telecom Italia (67.000) e di Wind (58.000).
Non tutti, però, sono necessariamente a rischio. Come ci ha spiegato Marco Carlo Spada, ingegnere iscritto all’Ordine di Pavia ed esperto di sicurezza e informatica forense, servono anche altre condizioni.
“La vulnerabilità sfruttata da Mirai risale a 2 anni fa (CVE-2014-9222) e interessa le versioni di Rompager fino alla 4.34” precisa Spada. “Questo significa che i router con firmware aggiornato dovrebbero essere immuni all’attacco”.
“Il malware stesso, d’altra parte, è programmato in modo da verificare se il dispositivo sia vulnerabile o meno. Per verificarlo, richiama uno script e controlla la risposta del router: solo se la risposta contiene una determinata stringa, procede nell’attacco”.
Da una prima analisi (per quanto superficiale) dei dispositivi presenti nel nostro paese, però, sembra che la maggior parte siano vulnerabili.
Si tratta, è bene specificarlo, di una percentuale minima rispetto all’installato degli Internet Provider, ma estremamente significativa se si guarda alle possibili conseguenze.
In Italia ci sarebbero migliaia di router potenzialmente vulnerabili all’attacco.
Nelle scorse settimane, infatti, abbiamo assistito ad attacchi DDoS devastanti che sono stati portati da reti di dispositivi compromessi che contavano “solo” 200.000 bot. Questa nuova versione di Mirai potrebbe consentire ai pirati di reclutarne qualche milione in tempi relativamente rapidi.
Ma esiste un modo per prevenire l’attacco? “Un metodo esiste ed è terribilmente semplice” conferma Marco Carlo Spada. “Basta cambiare la password di amministratore del router”.
Mirai, infatti, utilizza come password d’accesso quella predefinita, che di solito coincide con la password Wi-Fi. Il malware la recupera utilizzando uno dei comandi del protocollo TR-064 disponibili grazie al bug.
La definitiva soluzione del problema, però, arriverà solo con gli aggiornamenti dei firmware e le misure di mitigazione che metteranno in campo i singoli operatori.
SecurtyInfo.it ha contattato i due maggiori ISP coinvolti nella vicenda (Wind e Telecom Italia) per avere un commento e capire meglio quale sia il quadro della situazione. “I modem/router commercializzati da TIM non presentano vulnerabilità di questo tipo” hanno fatto sapere da Telecom.
I dati sugli utenti dell’operatore, quindi, dovrebbero riguardare clienti che stanno utilizzando un modem acquistato autonomamente o di cui erano in possesso già in precedenza.
“In ogni caso TIM ha implementato gli opportuni sistemi di sicurezza volti a limitare gli impatti derivanti da eventuali attacchi in rete, anche per i clienti che hanno scelto di acquistare autonomamente i modem/router da altri produttori e che presentano la porta TCP 7547 aperta all’esterno” prosegue Telecom. “Tali attività di monitoraggio e controllo vengono continuamente aggiornati per tener conto delle evoluzioni delle minacce”.
Wind, nel momento in cui scriviamo, non ha fatto pervenire alcun commento.
Aggiornamento 02.12.2016
Anche Wind, dopo avere ricevuto la segnalazione da parte di SecurityInfo.it, ha inviato un commento sulla situazione dei suoi utenti.
“I clienti Wind/Infostrada che impiegano dispositivi da noi forniti ci risultano non esposti alla minaccia in questione, anche grazie a particolari accorgimenti adottati nella gestione remota degli stessi dispositivi” spiegano da Wind.
“Per i clienti che non utilizzano dispositivi da noi forniti, stiamo comunque valutando eventuali soluzioni di sicurezza per aumentarne la protezione. Per questi ultimi, in attesa che possano scaricare dai siti dei produttori ed installare gli aggiornamenti firmware, il consiglio è di modificare eventuali password di default e di effettuare il reboot dei dispositivi per ripulirne la memoria volatile”.
Lug 05, 2024 0
Apr 20, 2023 0
Mar 02, 2023 0
Set 08, 2022 0
Lug 26, 2024 0
Lug 26, 2024 0
Lug 25, 2024 0
Lug 25, 2024 0
Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa per...Lug 24, 2024 0
Con l’obiettivo di assicurare un adeguato livello di...Lug 23, 2024 0
Le password sono ormai universalmente riconosciute come un...Lug 23, 2024 0
Sembra un numero fin troppo elevato, ma è tutto vero:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 26, 2024 0
Tanti videogiocatori si affidano ai cheat per avere più...Lug 25, 2024 0
I ricercatori di ESET hanno scoperto EvilVideo, una...Lug 25, 2024 0
Daggerfly, gruppo di cybercriminali cinesi conosciuto anche...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa...
2 thoughts on “Mirai ora attacca i router. In Italia 150.000 dispositivi a rischio”