Ho parlato in un altro articolo (Gravissima vulnerabilità di Router varie marche) riguardo la vulnerabilità di alcuni Router di marche differenti che però hanno Hardware identico (o molto simile) e stesso software di gestione (Firmware). Pare che il problema sia più grave del previsto perché non è una semplice vulnerabilità XSS ma pare essere una Backdoor ovvero una porta segrete lasciata aperta dagli sviluppatori.
Poiché la modifica della Password non è sufficiente, anche mettendone una molto lunga e complessa, si rende necessario trovare una soluzione. In realtà non ho ancora la certezza che la soluzione che sto per proporre risolva al 100% il problema (non conosco i dettagli della vulnerabilità), ma con molta probabilità sarà sufficiente. In caso contrario, e in assenza di una nuova versione del firmware, l'unica soluzione sarà quella di cambiare Router con uno più recente e NON vulnerabile. I più fortunati potrebbero avere un router compatibile con il firmware DD-WRT o Open-WRT, ma è una operazione complessa e non adatta ad un utente comune.
Come prima cosa vediamo come possiamo verificare se il nostro router è stato attaccato. Uno dei sintomi è che nella pagina di google (www.google.it) non troviamo la solita schermata, ma una che ci invita a scaricare un aggiornamento di Flash Player Pro. Ovviamente NON scaricatelo... è un virus.
Altri sintomi possono essere l'impossibilità di navigare correttamente (spesso capita con alcuni router collegati con CAVO), non so bene se a causa di un errore dell'attacco o per qualche altro motivo. Un metodo sicuro è certamente quello di guardare le impostazioni del router alla ricerca dei DNS (Domain Name Server), se trovate uno di questi indirizzo:
- 128.199.225.6
- 37.1.198.204
- 68.168.98.196
- 23.253.94.129 new
il vostro router è stato attaccato e modificato. In alcuni casi la password di accesso alla configurazione del router viene modificata da chi vi ha attaccato, e se vi è andata bene è quella predefinita di questi router (generalmente "admin"). La soluzione migliore però è quella di resettare il router alle impostazioni di fabbrica.
ATTENZIONE PER QUESTA PROCEDURA E' FONDAMENTALE CONOSCERE USER E PASSWORD DI ACCESSO AL VOSTRO ABBONAMENTO INTERNET. Nel caso di dubbi chiedete al Vostro provider. Se inoltre non avete mai configurato il router e/o non sapete esattamente come fare, chiamate il Vostro Tecnico di Fiducia.
Passo 1: Reset del Router alle impostazioni di fabbrica
In tutti i router si trova un micro pulsante accessibile da un forellino (in alcuni modelli un piccolo pulsante esterno), da premere ad esempio con una penna, per una decina di secondi o comunque fino a quando i led del modem si spengono e si riaccendono. Fatta questa operazione TUTTE le impostazioni del router sono tornare a quelle di quando lo avete acquistato. E' opportuno verificare nel manuale le modalità di accesso predefinite.
Passo 2: Collegari al router con un cavetto (consigliato ma non indispensabile)
A seconda del modello il router potrebbe avere il Wireless abilitato o disabilitato. Nel caso sia abilitato occorre verificare se esiste una password della Wireless oppure se non ha protezione. Se invece è disabilitato l'unica possibilità è collegarsi con il cavetto LAN.
Passo 3: Accesso alla pagina di configurazione del router
Generalmente per configurare i router occorre aprire un Browser Web come Mozilla Firefox, Google Chrome o Internet Explorer. Dato che il router è stato resettato alle impostazioni di fabbrica, non è più configurato per navigare, e non comparirà nessuna pagina internet ma una avviso che in sostanza vi dice che non c'è connessione. Nella barra degli indirizzi scrivete l'indirizzo IP del Router che trovate nel manuale... ma che nella maggior parte dei casi sarà 192.168.1.1 (o in alternativa potrebbe essere 192.168.1.254 o 192.168.0.1).
Una volta inserito e confermato l'indirizzo IP del router ci verrà richiesta una password. Normalmente l'user è admin e la password ugualmente admin. In ogni caso verificate nel manuale del router.
New Passo 3.1: Aggiornare o ricaricare l'ultima versione del firmware disponibile
Questo passo non so con certezza se è necessario oppure no, ma è stata consigliata da un utente del gruppo di discussione it.comp.sicurezza.virus (ObiWan), perché pare che alcuni attacchi consistano nell'aggiornare il firmware con uno alterato e che permette l'accesso dall'asterno anche con la protezione ACL attivata.
In effetti può essere una procedura un po complessa, sia perché alcuni produttori NON rilasciano aggiornamenti e non rendono nemmeno disponibile per il download la versione presente nel router. Nel caso non abbiate a disposizione il firmware da ricaricare saltata la procedura, una volta ripristinato l'accesso ad internet, cercato dal sito del produttore e dopo l'aggiornamento ripetete la procedura.
Passo 4: usare la procedura Quick start
I meno esperti possono usare la procedura Quick Start e inserire tutti i dati richiesti dalla connessione, come i parametri di accesso ad internet, la configurazione e la password del wireless (consiglio di usare il WPA2-PSK con AES). Al termine confermate con l'apposito pulsante. A seconda del modello il router verrà riavviato. A volte se non viene riavviato occorre spegnerlo e riaccenderlo manualmente per completare la procedura.
Passo 5: Verificare la connessione
A questo punto occorre verificare la connessione navigando su qualche sito web. Se è tutto apposto si passa alla fase sucessiva.
Passo 6: Modificare la password di accesso alla configurazione del router.
Anche se non è risolutiva rispetto al problema è sempre una buona idea, anche perché questi router vulnerabili spesso hanno l'accesso alla configurazione aperto anche alla WAN e non solo alla LAN. L'importante è, come per tutte le password, non usarne una banale o troppo corta e segnarla da qualche parte (es. un fogliettino da tenere nel manuale del router).
Passo 7: Impostare la ACL (Access Control List)
Infine occorre impostare la protezione ACL per fare in modo che l'accesso alla configurazione dle router sia consentito solo in Locale e non dalla WAN (cioè dalla rete internet).
Vedi Immagine:
Passo 8: Verifica della protezione ACL
Individuate il Vostro indirizzo IP su internet (ad esempio guardando la pagina status del router) e provate ad accedere a quell'IP da un PC collegato ad un altra ADSL o anche da uno smartphone o tablet collegato con il 3G. Se la protezione ACL funziona non dovreste avere accesso alla pagina di accesso alla configurazione del router.
Elenco parziale dei router vulnerabili identificati da me o da colleghi con cui ho comunicato direttamente.
KRAUN: KR.XL, KT.KS, KN-3N, KR.KQ
new TP-Link: TD-8816, TD-8817, TD-8840T, TD-W8151N, TD-W8901N, TD-W8951ND, TD-W8961ND (Rif: Some TP-LINK ADSL modem router's security problem statement )
(per i TP-Link pare sia sufficiente verificare se per questi router è stata installata l'ultima versione del firmware e NON aver abilitato l'accesso remoto al router. Per scaricare l'ultimo aggiornamento andare a questo indirizzo: Dowload Aggiornamenti Firmware TP-LINK). TP-Link ha annunciato che presto verranno rilasciati aggiornamenti per il firmware che permetterà di tenere abilitato l'accesso remoto al router senza problemi di sicurezza.
Intellinet:
Edimax: AR-7084GA
Credit: diversi utenti del Gruppo di discussione it.comp.sicurezza.virus, tra cui "qu", "ObiWan", "Massimo"