Vulnerabilità nei Router Domestici: Potenziali Minacce da Hacker - TechRobot

Vulnerabilità nei Router Domestici: Potenziali Minacce da Hacker

All’inizio di questo mese è stata divulgata una vulnerabilità presente in milioni di router domestici. Il 3 agosto, Tenable, un’azienda specializzata in esposizione informatica, ha scoperto una vulnerabilità di elusione dell’autenticazione che colpisce sia i router domestici sia altri dispositivi Internet of Things (IoT) che possono essere sfruttati dai criminali informatici.

Juniper Threat Labs ha anche citato che i cybercriminali possono utilizzare una variante del malware Mirai per sfruttare la vulnerabilità dei router domestici. È già stato registrato di recente il dirottamento di router domestici di almeno 20 produttori, poiché utilizzano la variante del malware Mirai per effettuare attacchi DDoS. La vulnerabilità è stata scoperta influenzare produttori di router domestici come ADB, Arcadyan, ASMAX, ASUS, Beeline, British Telecom, Buffalo, Deutsche Telekom, HughesNet, KPN, O2, Orange, Skinny, SparkNZ, Telecom [Argentina], TelMex, Telstra, Telus, Verizon e Vodafone. Questi router domestici utilizzano il firmware Arcadyan, che è vulnerabile all’attacco.

I ricercatori di Tenable hanno tracciato la falla di sicurezza come CVE-2021-20090. Un proof of concept (POC) è stato pubblicato da Tenable indicando che i cyberattaccanti possono infiltrarsi in un dispositivo attivando Telnet sul router domestico e ottenere un certo accesso al dispositivo. L’attaccante può quindi lanciare un attacco DDoS su tutti i dispositivi connessi al router domestico.

Secondo Tenable, “Ogni volta che viene pubblicato un exploit POC (proof of concept), spesso ci vuole molto poco tempo per integrarlo nella loro piattaforma e lanciare attacchi. I ricercatori hanno anche notato che la maggior parte delle organizzazioni non ha politiche per applicare patch entro pochi giorni, a volte impiegando settimane per reagire. Ma nel caso dei dispositivi IoT o dei gateway domestici, la situazione è molto peggiore poiché la maggior parte degli utenti non è esperta di tecnologia e anche coloro che lo sono non vengono informati riguardo le potenziali vulnerabilità e le patch da applicare.

Le potenziali minacce attraverso la variante di Mirai

Juniper Network ha scoperto lo sfruttamento di router domestici tramite il malware Mirai. I cybercriminali possono cambiare il loro indirizzo IP in uno in Cina e lanciare un attacco ai router vulnerabili.

Hanno detto, “Abbiamo identificato alcuni schemi di attacco che tentano di sfruttare questa vulnerabilità nel mondo reale, provenienti da un indirizzo IP situato a Wuhan, provincia di Hubei, Cina. L’attaccante sembra essere intenzionato a distribuire una variante di Mirai sui router interessati.”

Un attacco a un router domestico può rappresentare molteplici minacce per un individuo o un’azienda. Jake Williams di BreachQuest ha sottolineato l’effetto dell’attacco. Ha detto, “Un attore di minaccia che compromette un router può eseguire attacchi man-in-the-middle su tutto il traffico che lo attraversa, ma lo scenario più probabile è un attore di minaccia che utilizza questi dispositivi come parte di una botnet, che potrebbe essere utilizzata per la scansione di vulnerabilità distribuita, l’exploitation, l’indovinamento di password, o nel caso più probabile DDoS.”

Secondo Williams, una vulnerabilità nell’interfaccia utente di un router domestico potrebbe dare a un attaccante l’accesso al login del dispositivo, permettendogli potenzialmente di cambiare impostazioni o aggiungere malware. Ha però aggiunto che la maggior parte dei router moderni non espone la loro interfaccia a internet pubblico.

Cos’è la Variante Mirai

Mirai è un botnet che prende di mira dispositivi Internet of Things (IoT)—come router domestici, registratori video digitali e telecamere internet—e li trasforma in strumenti per hackerare altre macchine. Si ritiene che il botnet autoreplicante Mirai sia responsabile di oltre mezzo milione di dispositivi IoT compromessi che sono stati utilizzati per condurre massicci attacchi DDoS che raggiungono fino a 1 Tbps.

Mirai è stato avvistato per la prima volta nel 2016 quando degli hacker hanno scatenato un attacco su larga scala al servizio di sistema di nomi di dominio (DNS) di Dyn. Ha causato il down di numerosi siti importanti per ore, inclusi Twitter, Amazon, Reddit e Netflix. Il codice di Mirai è stato pubblicato nel novembre di quell’anno e, da allora, sono emerse molte varianti diverse.

Mitigare Attacchi Potenziali

Secondo i ricercatori, la vulnerabilità nei router domestici si trova nel loro firmware. È causata da una carenza nelle politiche di aggiornamento, nelle patch fornite dai produttori di router domestici, così come dalla loro dipendenza da progetti open source per il codice. Tipicamente, questi tre componenti critici dei router domestici sono insicuri, rendendoli un bersaglio facile per i criminali informatici.

Alcuni router domestici utilizzano software obsoleti e hanno una politica di aggiornamento scarsa o inesistente per affrontare i rischi per la sicurezza. Mancano anche di patch e aggiornamenti per risolvere i difetti identificati. Questo può essere dovuto alla mancanza di finanziamenti da parte del produttore del router domestico, il che li rende anche suscettibili agli attacchi da parte degli hacker.

I ricercatori hanno consigliato ai fornitori di offrire aggiornamenti automatici per mitigare possibili attacchi. Juniper ha dichiarato: “L’unico modo sicuro per risolvere questo problema è richiedere ai fornitori di offrire aggiornamenti automatici senza tempi di inattività.”

Gli utenti possono anche aggiornare il firmware del loro router domestico e rimanere informati sulle vulnerabilità per evitare compromissioni sui loro dispositivi. Inoltre, l’utilizzo di una VPN su un router domestico può anche aiutare a prevenire gli attacchi informatici.

Conclusione

I ricercatori hanno scoperto vulnerabilità nei router domestici che possono scatenare attacchi DDOS da parte di cybercriminali. La vulnerabilità è stata già trovata su circa 20 produttori di router domestici. Gli attaccanti informatici lanciano questi attacchi tramite la variante Mirai e colpiscono tutti i dispositivi connessi al router. Gli utenti devono aggiornare il firmware e prendere altre precauzioni per prevenire gli attacchi.