Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
Mirai ora attacca i router. In Italia 150.000 dispositivi a rischio
Minaccia globale
È probabile che gli Internet Provider nel resto del mondo dovranno seguire una strategia simile. Stando a quanto riportato da Kaspersky, infatti, l’attacco si starebbe allargando e avrebbe ormai raggiunto dimensioni globali.
Capire quali (e quanti) dispositivi possano effettivamente essere colpiti non è facile. Perché l’attacco abbia efficacia, serve che il router abbia la porta 7547 aperta e un server Rompager attivo.
In Italia, da una ricerca tramite Shodan (serve l’accesso) ci sarebbero circa 151.000 dispositivi che fanno riferimento a utenze collegate a operatori italiani con queste caratteristiche. La maggior parte di Telecom Italia (67.000) e di Wind (58.000).
Non tutti, però, sono necessariamente a rischio. Come ci ha spiegato Marco Carlo Spada, ingegnere iscritto all’Ordine di Pavia ed esperto di sicurezza e informatica forense, servono anche altre condizioni.
“La vulnerabilità sfruttata da Mirai risale a 2 anni fa (CVE-2014-9222) e interessa le versioni di Rompager fino alla 4.34” precisa Spada. “Questo significa che i router con firmware aggiornato dovrebbero essere immuni all’attacco”.
“Il malware stesso, d’altra parte, è programmato in modo da verificare se il dispositivo sia vulnerabile o meno. Per verificarlo, richiama uno script e controlla la risposta del router: solo se la risposta contiene una determinata stringa, procede nell’attacco”.
Da una prima analisi (per quanto superficiale) dei dispositivi presenti nel nostro paese, però, sembra che la maggior parte siano vulnerabili.
Si tratta, è bene specificarlo, di una percentuale minima rispetto all’installato degli Internet Provider, ma estremamente significativa se si guarda alle possibili conseguenze.
In Italia ci sarebbero migliaia di router potenzialmente vulnerabili all’attacco.
Nelle scorse settimane, infatti, abbiamo assistito ad attacchi DDoS devastanti che sono stati portati da reti di dispositivi compromessi che contavano “solo” 200.000 bot. Questa nuova versione di Mirai potrebbe consentire ai pirati di reclutarne qualche milione in tempi relativamente rapidi.
Ma esiste un modo per prevenire l’attacco? “Un metodo esiste ed è terribilmente semplice” conferma Marco Carlo Spada. “Basta cambiare la password di amministratore del router”.
Mirai, infatti, utilizza come password d’accesso quella predefinita, che di solito coincide con la password Wi-Fi. Il malware la recupera utilizzando uno dei comandi del protocollo TR-064 disponibili grazie al bug.
La definitiva soluzione del problema, però, arriverà solo con gli aggiornamenti dei firmware e le misure di mitigazione che metteranno in campo i singoli operatori.
SecurtyInfo.it ha contattato i due maggiori ISP coinvolti nella vicenda (Wind e Telecom Italia) per avere un commento e capire meglio quale sia il quadro della situazione. “I modem/router commercializzati da TIM non presentano vulnerabilità di questo tipo” hanno fatto sapere da Telecom.
I dati sugli utenti dell’operatore, quindi, dovrebbero riguardare clienti che stanno utilizzando un modem acquistato autonomamente o di cui erano in possesso già in precedenza.
“In ogni caso TIM ha implementato gli opportuni sistemi di sicurezza volti a limitare gli impatti derivanti da eventuali attacchi in rete, anche per i clienti che hanno scelto di acquistare autonomamente i modem/router da altri produttori e che presentano la porta TCP 7547 aperta all’esterno” prosegue Telecom. “Tali attività di monitoraggio e controllo vengono continuamente aggiornati per tener conto delle evoluzioni delle minacce”.
Wind, nel momento in cui scriviamo, non ha fatto pervenire alcun commento.
Aggiornamento 02.12.2016
Anche Wind, dopo avere ricevuto la segnalazione da parte di SecurityInfo.it, ha inviato un commento sulla situazione dei suoi utenti.
“I clienti Wind/Infostrada che impiegano dispositivi da noi forniti ci risultano non esposti alla minaccia in questione, anche grazie a particolari accorgimenti adottati nella gestione remota degli stessi dispositivi” spiegano da Wind.
“Per i clienti che non utilizzano dispositivi da noi forniti, stiamo comunque valutando eventuali soluzioni di sicurezza per aumentarne la protezione. Per questi ultimi, in attesa che possano scaricare dai siti dei produttori ed installare gli aggiornamenti firmware, il consiglio è di modificare eventuali password di default e di effettuare il reboot dei dispositivi per ripulirne la memoria volatile”.
Condividi l'articolo
Aggiornamento per Firefox. “Bug zero-day usato dai pirati”
Attacco ai trasporti di San Francisco: ora i pirati bluffano
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato...
Ransomware: la serie
No posts found.
2 thoughts on “Mirai ora attacca i router. In Italia 150.000 dispositivi a rischio”