QR code per la pagina originale

Abbonati ADSL, attenti al router

Oltre 700.000 router sono vulnerabili ad un attacco da remoto. I dispositivi sono stati forniti dagli ISP agli abbonati ADSL, anche in Italia.

,

Un ricercatore di sicurezza ha scoperto una grave vulnerabilità in oltre 700.000 router forniti agli abbonati dagli ISP in diversi paesi, tra cui l’Italia. Il bug, presente in un componente del firmware, può essere sfruttato per eseguire un attacco di tipo “directory traversal” che permette ad un malintenzionato di accedere al dispositivo da remoto ed effettuare diverse operazioni maligne, tra cui il furto dei dati di login e il cambio dei DNS.

La vulnerabilità è stata individuata nel componente webproc.cgi e può essere sfruttata per estrarre informazioni dal file config.xml, presente sui router esaminati e contenente i parametri di configurazione. In questo file vengono scritti diversi dati sensibili, come gli hash delle password per l’amministratore e altri account, username e password per la connessione al provider ADSL (PPPoE), le credenziali client e server per il protocollo di gestione remota TR-069 usato da alcuni ISP, e la password per la rete wireless, se il router integra un access point WiFi.

Se un malintenzionato riesce ad effettuare l’accesso come amministratore può modificare gli indirizzi DNS. L’utente che visita un sito web legittimo può ritrovarsi su una pagina piena di malware. Su alcuni modelli non è necessario nemmeno usare il bug per accedere al file config.xml, in quanto basta conoscere l’indirizzo esatto (URL) della sua posizione. Un quarto dei router analizzati consentono anche il dump della memoria, in cui sono conservati in chiaro varie informazioni, come le password di accesso ai siti.

L’elenco dei modelli include ZTE H108N e H108NV2.1, D-Link 2750E, 2730U e 2730E, Sitecom WLM-3600, WLR-6100 e WLR-4100, FiberHome HG110, Planet ADN-4101, Digisol DG-BG4011N e Observa Telecom BHS_RTA_R1A. Non è possibile conoscere quali ISP forniscono questi router ai loro abbonati, in quanto spesso vengono usati nomi differenti. È certo però che la maggioranza di essi integra un firmware realizzato dall’azienda cinese Shenzhen Gongjin Electronics.

I dispositivi vulnerabili sono usati principalmente dagli ISP in Colombia, India, Argentina, Thailandia, Moldavia, Iran, Perù, Cile, Egitto, Cina e Italia. Non è noto se Shenzhen Gongjin Electronics abbia già distribuito una patch ai suoi partner. Gli utenti dovrebbero verificare l’esistenza di un firmware aggiornato o chiedere informazioni al provider ADSL.