Gravissima vulnerabilità su Molti Router varie marche. Vengono cambiati i DNS. Rischio infezioni e/o furto password di accesso ai siti
Precisazione: in questo articolo parlo di una Marca di Router (Kraun) e di due modelli. Il problema è però esteso a moltissime marche come D-Link, Tp-Link, Edimax e chissà quali altre e non si sa di preciso a quali modelli.
Nei giorni scorsi sono dovuto intervenire alcune volte presso gli stessi clienti, per risolvere un problema con il Router.
In un caso (PC collegati solo via cavo) il router (Kraun KR.YL) sembra non funzionare, non assegna gli IP tramite DHCP e quindi non si naviga. In quel caso ho risolto resettando e reimpostando il router. Operazione che ho dovuto ripetere, sullo stesso router, dopo poco più di una settimana e poi nuovamente dopo altri pochi giorni dopo.
In un secondo caso (PC collegati solo via WiFi) il router (Kraun) funzionava correttamente, ma la pagina google.it invitava a scaricare un aggiornamento di flash player pro. Ma ovviamente è un virus. Ecco l'immagine sotto:
Se trovate una pagina simile il vostro Router è stato attaccato.
NON SCARICATE ASSOLUTAMENTE NESSUN FILE e NEL MODO PIU' ASSOLUTO ACCEDETE AD ALTRI SITI INTERNET CHE RICHIEDANO PASSWORD IN MODO PARTICOLARE QUELLI DEGLI ISTITUTI DI CREDITO.
Gli stessi Router in passato erano stati oggetto di attacco dall'esterno, perché permettono l'accesso alla configurazione dalla WAN (ovvero da Internet) quando dovrebbe essere attiva solo dalla LAN. In quel caso bastava conoscere la password del Router per entrare nella configurazione... e molto spesso la password era stata lasciata quella predefinita: "admin". Nei due Router indicati prima, ero quindi intervenuto a suo tempo impostando una password alfanumerica di una decina di caratteri.
Questo tipo di protezione però NON è più sufficiente. Esistono infatti delle vulnerabilità in MOLTISSIMI Router di varie marche (che probabilmente hanno hardware e/o firmware identici) che permettono di aggirare la protezione e di accedere alla configurazione anche senza conoscere la password. Probabilmente è possibile proteggersi da questi attacchi impostando delle ACL (Access Control List = Lista di controllo degli accessi), ma è solo una possibilità. Se così non fosse l'unica possibilità è acquistare un nuovo router non vulnerabile o, per chi è un fortunato possessore di un router compatibile con WRT, installare un firmware differente rispetto all'originale, chiamato dd-wrt o open-wrt.
Appena avrò la possibilità di ri-mettere le mani su uno di questi router, cercherò di creare una miniguida per impostare queste ACL (sempre che servano per la protezione).
AGGIORNAMENTO:
Pare che il problema si verifichi navigando su alcuni siti infetti che lanciano un attacco tramite un Javascript e non con delle scansioni di RANGE di indirizzi IP. (info da www.tgsoft.it/italy/news_archivio.asp?id=580 )