Aggiornamenti recenti Marzo 29th, 2024 9:00 AM
Dic 01, 2016 Marco Schiaffino Approfondimenti, Attacchi, Attacchi, In evidenza, Malware, News, RSS, Vulnerabilità, Vulnerabilità 2
È probabile che gli Internet Provider nel resto del mondo dovranno seguire una strategia simile. Stando a quanto riportato da Kaspersky, infatti, l’attacco si starebbe allargando e avrebbe ormai raggiunto dimensioni globali.
Capire quali (e quanti) dispositivi possano effettivamente essere colpiti non è facile. Perché l’attacco abbia efficacia, serve che il router abbia la porta 7547 aperta e un server Rompager attivo.
In Italia, da una ricerca tramite Shodan (serve l’accesso) ci sarebbero circa 151.000 dispositivi che fanno riferimento a utenze collegate a operatori italiani con queste caratteristiche. La maggior parte di Telecom Italia (67.000) e di Wind (58.000).
Non tutti, però, sono necessariamente a rischio. Come ci ha spiegato Marco Carlo Spada, ingegnere iscritto all’Ordine di Pavia ed esperto di sicurezza e informatica forense, servono anche altre condizioni.
“La vulnerabilità sfruttata da Mirai risale a 2 anni fa (CVE-2014-9222) e interessa le versioni di Rompager fino alla 4.34” precisa Spada. “Questo significa che i router con firmware aggiornato dovrebbero essere immuni all’attacco”.
“Il malware stesso, d’altra parte, è programmato in modo da verificare se il dispositivo sia vulnerabile o meno. Per verificarlo, richiama uno script e controlla la risposta del router: solo se la risposta contiene una determinata stringa, procede nell’attacco”.
Da una prima analisi (per quanto superficiale) dei dispositivi presenti nel nostro paese, però, sembra che la maggior parte siano vulnerabili.
Si tratta, è bene specificarlo, di una percentuale minima rispetto all’installato degli Internet Provider, ma estremamente significativa se si guarda alle possibili conseguenze.
Nelle scorse settimane, infatti, abbiamo assistito ad attacchi DDoS devastanti che sono stati portati da reti di dispositivi compromessi che contavano “solo” 200.000 bot. Questa nuova versione di Mirai potrebbe consentire ai pirati di reclutarne qualche milione in tempi relativamente rapidi.
Ma esiste un modo per prevenire l’attacco? “Un metodo esiste ed è terribilmente semplice” conferma Marco Carlo Spada. “Basta cambiare la password di amministratore del router”.
Mirai, infatti, utilizza come password d’accesso quella predefinita, che di solito coincide con la password Wi-Fi. Il malware la recupera utilizzando uno dei comandi del protocollo TR-064 disponibili grazie al bug.
La definitiva soluzione del problema, però, arriverà solo con gli aggiornamenti dei firmware e le misure di mitigazione che metteranno in campo i singoli operatori.
SecurtyInfo.it ha contattato i due maggiori ISP coinvolti nella vicenda (Wind e Telecom Italia) per avere un commento e capire meglio quale sia il quadro della situazione. “I modem/router commercializzati da TIM non presentano vulnerabilità di questo tipo” hanno fatto sapere da Telecom.
I dati sugli utenti dell’operatore, quindi, dovrebbero riguardare clienti che stanno utilizzando un modem acquistato autonomamente o di cui erano in possesso già in precedenza.
“In ogni caso TIM ha implementato gli opportuni sistemi di sicurezza volti a limitare gli impatti derivanti da eventuali attacchi in rete, anche per i clienti che hanno scelto di acquistare autonomamente i modem/router da altri produttori e che presentano la porta TCP 7547 aperta all’esterno” prosegue Telecom. “Tali attività di monitoraggio e controllo vengono continuamente aggiornati per tener conto delle evoluzioni delle minacce”.
Wind, nel momento in cui scriviamo, non ha fatto pervenire alcun commento.
Aggiornamento 02.12.2016
Anche Wind, dopo avere ricevuto la segnalazione da parte di SecurityInfo.it, ha inviato un commento sulla situazione dei suoi utenti.
“I clienti Wind/Infostrada che impiegano dispositivi da noi forniti ci risultano non esposti alla minaccia in questione, anche grazie a particolari accorgimenti adottati nella gestione remota degli stessi dispositivi” spiegano da Wind.
“Per i clienti che non utilizzano dispositivi da noi forniti, stiamo comunque valutando eventuali soluzioni di sicurezza per aumentarne la protezione. Per questi ultimi, in attesa che possano scaricare dai siti dei produttori ed installare gli aggiornamenti firmware, il consiglio è di modificare eventuali password di default e di effettuare il reboot dei dispositivi per ripulirne la memoria volatile”.
Apr 20, 2023 0
Mar 02, 2023 0
Set 08, 2022 0
Set 08, 2022 0
Mar 29, 2024 0
Mar 28, 2024 0
Mar 27, 2024 0
Mar 26, 2024 0
Mar 29, 2024 0
Le aziende hanno compreso l’importanza della...Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 27, 2024 0
La sanità viene presa di mira dagli infostealer: a dirlo...Mar 22, 2024 0
Nel 2024 i deepfake saranno una delle applicazioni di...Mar 21, 2024 0
Acronis annuncia l’ottenimento della qualificazione...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mar 29, 2024 0
Le aziende hanno compreso l’importanza della...Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 26, 2024 0
Un gruppo di ricercatori ha individuato un grosso problema...Mar 25, 2024 0
La scorsa settimana ha rappresentato una sfida...Mar 25, 2024 0
Il 22 marzo si è concluso il Pwn2Own, l’hackathon...
2 thoughts on “Mirai ora attacca i router. In Italia 150.000 dispositivi a rischio”