Il tuo modem sta hackerando un sito Internet?

Apr 14, 2017 Marco Schiaffino Attacchi, In evidenza, Malware, News, RSS, Vulnerabilità 0

La situazione nel mondo e in Italia

Dalla classifica stilata dai ricercatori (consultabile qui) risulta che gli Internet Service Provider (ISP) a cui fanno riferimento il maggior numero di dispositivi compromessi si trovano in Pakistan (PTCL con 12.246 router compromessi); India (BSNL con 11.495) e Algeria (Telecom Algeria con 8962).

Curiosamente, tra i primi 28 ISP interessati dalla vicenda non ne figura nessuno di Stati Uniti, Germania, Francia e Regno Unito. L’anomalia, però, potrebbe spiegarsi semplicemente con il metodo seguito da Wordfence per stilare la classifica.

Siccome gli indirizzi IP incriminati sono raggruppati in base all’ISP che li gestisce, il dato può derivare dal fatto che in questi paesi i clienti sono più “distribuiti” rispetto ad altri, in cui ci sono invece grandi aziende che concentrano un gran numero di clienti.

E l’Italia? Il nostro paese si piazza al 21esimo posto con 1.515 router compromessi che fanno riferimento a indirizzi IP di Telecom Italia. Anche in considerazione di quanto detto sopra, la cosa non stupisce: lo scorso dicembre, infatti, il numero di router potenzialmente vulnerabili all’attacco tramite la vulnerabilità di RomPager che usavano un indirizzo IP di Telecom Italia erano circa 67.000.

Come aveva specificato Telecom Italia e abbiamo riportato anche in quell’occasione, però, il problema non riguarderebbe i modelli di modem/router forniti ai clienti del provider italiano. Si tratterebbe piuttosto di dispositivi acquistati autonomamente dai singoli clienti. Il ragionamento, ovviamente, vale anche per tutti gli ISP nel resto del mondo.

Tutta colpa degli utenti e nessuna responsabilità per i provider, quindi? Secondo i ricercatori di Wordfence non sarebbe proprio così.

Nello stesso report, infatti, fanno appello agli Internet Service Provider affinché applichino dei filtri alle loro reti per bloccare le comunicazioni potenzialmente pericolose, cioè quelle dirette alla porta 7547. In questo modo sarebbe possibile bloccare il problema all’origine.

E stiamo parlando di un problema che ha dimensioni notevoli: i router potenzialmente vulnerabili a questo tipo di attacco sarebbero, nel mondo, la bellezza di 41 milioni. Considerato che gli attacchi sono in crescita, il rischio che la situazione diventi incontrollabile è più che concreta.

E dire che il problema “non riguarda i modelli di modem che forniamo ai nostri clienti” rischia di essere una foglia di fico che non copre le responsabilità di chi, per primo, deve collaborare a rendere Internet più sicura.

In attesa che qualcosa si muova a questo livello, ognuno di noi può però preoccuparsi di non fare parte del problema, controllando se il router che usiamo è vulnerabile all’attacco o meno.

Per farlo, è possibile collegarsi a una pagina Internet pubblicata da Wordfence stessa, in cui è possibile eseguire un rapido test.

Un semplice clic permette di eseguire una scansione del nostro router e verificare se la porta 7547 è aperta o meno.

Nel caso in cui risulti negativo, possiamo dormire sonni tranquilli. Se dovesse invece risultare vulnerabile, i ricercatori della società suggeriscono alcune azioni per metterlo in sicurezza.

La prima cosa da fare è riavviare il router. L’eventuale malware installato su di esso, infatti, è residente in memoria e viene cancellato al momento del riavvio.

Una volta eliminato il possibile malware, i ricercatori consigliano di aggiornare il firmware del router e modificare le impostazioni per chiudere le connessioni sulla porta 7547.

Infine, controllare tutti i dispositivi collegati alla rete locale con un antivirus per verificare che il router non sia stato utilizzato come “cavallo di troia” per diffondere ulteriore malware.

Condividi l'articolo