VPNFilter: il malware che infetta i router sarebbe più grave del previsto
Qualche settimana fa su queste pagine vi abbiamo parlato di VPNFilter, il malware legato alla Russia che avrebbe infettato quasi 500.000 router a livello mondiale. Secondo quanto riferito da alcuni siti, il malware sarebbe più grave del previsto e molto difficile da rimuovere.
Attraverso uno studio del virus effettuato dal team di sicurezza Talos di Cisco, è risultato che il malware è più potente di quanto inizialmente pensato e funzionerebbe su una base molto più ampia di modelli, molti dei quali prodotti da case precedentemente non interessate.
Gli aggressori inoltre sarebbero in grado di utilizzare il modulo SSLER per iniettare carichi dannosi nel traffico, mentre questo passa attraverso il router infetto. I payload possono essere personalizzare per specifici dispositivi connessi alla rete infatti. Il modulo potrebbe anche essere utilizzato per modificare il contenuto dei siti web, ingannando gli utenti.
Oltre a manipolare segretamente il traffico consegnato agli endpoint all'interno di una rete infetta, SSLER è progettato per rubare dati sensibili passati attraverso gli endpoint connessi e l'internet esterno. Questo ispeziona gli URL dei siti web, intercettando i segnali che trasmettono password ed altri dati sensibili in modo che possano essere copiati ed inviati ai server controllati dagli aggressori.
Per bypassare la crittografia TLS, che è progettata per prevenire tali attacchi, SSLER esegue il downgrade dalle connessioni HTTPS protette al traffico HTTP classico. Per il traffico verso Google, Facebook, Twitter e YouTube, ovvero tutto quei servizi che includono funzionalità di sicurezza aggiuntive, il modulo elimina la compressione dei dati fornita dall'applicazione GZIP perchè il traffico di testo in chiaro è più facile da modificare.
Secondo Cisco, VPNFilter rappresenta ad oggi la minaccia più potente mai rivolta a più dispositivi, rispetto a quanti ne sono stati riportati due settimana fa. In precedenza infatti i ricercatori credevano che l'obiettivo principale di VPNFilter fosse quello di utilizzare switch, router e dispositivi di archiviazione di rete di piccole dimensioni, per lanciare attacchi su obiettivi. La scoperta del modulo SSLER invece suggerisce che i proprietari dei router stessi sarebbero l'obiettivo principale dell'attacco.
Talos ha suggerito che VPNFilter si rivolge anche ad un numero molto maggiore di dispositivi.
Dispositivi Asus:
- RT-AC66U (nuovo)
- RT-N10 (nuovo)
- RT-N10E (nuovo)
- RT-N10U (nuovo)
- RT-N56U (nuovo)
- RT-N66U (nuovo)
Dispositivi D-Link:
- DES-1210-08P (nuovo)
- DIR-300 (nuovo)
- DIR-300A (nuovo)
- DSR-250N (nuovo)
- DSR-500N (nuovo)
- DSR-1000 (nuovo)
- DSR-1000N (nuovo)
Dispositivi Huawei:
- HG8245 (nuovo)
Dispositivi Linksys:
- E1200
- E2500
- E3000 (nuovo)
- E3200 (nuovo)
- E4200 (nuovo)
- RV082 (nuovo)
- WRVS4400N
Dispositivi Mikrotik:
- CCR1009 (nuovo)
- CCR1016
- CCR1036
- CCR1072
- CRS109 (nuovo)
- CRS112 (nuovo)
- CRS125 (nuovo)
- RB411 (nuovo)
- RB450 (nuovo)
- RB750 (nuovo)
- RB911 (nuovo)
- RB921 (nuovo)
- RB941 (nuovo)
- RB951 (nuovo)
- RB952 (nuovo)
- RB960 (nuovo)
- RB962 (nuovo)
- RB1100 (nuovo)
- RB1200 (nuovo)
- RB2011 (nuovo)
- RB3011 (nuovo)
- RB Groove (nuovo)
- RB Omnitik (nuovo)
- STX5 (nuovo)
Dispositivi Netgear:
- DG834 (nuovo)
- DGN1000 (nuovo)
- DGN2200
- DGN3500 (nuovo)
- FVS318N (nuovo)
- MBRN3000 (nuovo)
- R6400
- R7000
- R8000
- WNR1000
- WNR2000
- WNR2200 (nuovo)
- WNR4000 (nuovo)
- WNDR3700 (nuovo)
- WNDR4000 (nuovo)
- WNDR4300 (nuovo)
- WNDR4300 (nuovo)
- WNDR4300 -TN (nuovo)
- UTM50 (nuovo)
Dispositivi QNAP:
- TS251
- TS439 Pro
- Altri dispositivi QNAP NAS con software QTS
Dispositivi TP-Link:
- R600VPN
- TL-WR741ND (nuovo)
- TL-WR841N (nuovo)
Dispositivi Ubiquiti:
- NSM2 (nuovo)
- PBE M5 (nuovo)
Dispositivi ZTE:
- ZXHN H108N (nuovo)
Di seguito un comunicato di TP-Link:
“TP-Link, da sempre attiva nel garantire il più alto livello di sicurezza, per quanto concerne la vulnerabilità VPNFilter recentemente portata alla luce da diversi operatori di settore, comunica di non aver rilevato alcun rischio inerente i propri prodotti. Per assicurare il massimo livello di protezione, come da best-practice, l’azienda suggerisce di verificare periodicamente la disponibilità di aggiornamenti software e firmware al link https://www.tp-link.com/download-center.html
TP-Link consiglia, inoltre, di modificare le credenziali predefinite per l’accesso alle interfacce di configurazione dei prodotti come descritto alla pagina https://www.tp-link.com/faq-73.html
TP-Link è costantemente al lavoro nel monitorare qualsiasi vulnerabilità, pertanto, aggiornamenti informativi e firmware/software saranno rilasciati in caso di necessità. Per qualsiasi ulteriore informazione, il Supporto Tecnico TP-Link rimane naturalmente a disposizione al link https://www.tp-link.com/it/support-contact.html“.
FONTE: Arstechnica
Rimani aggiornato seguendoci su Google News!
Unisciti all'orda: la chat telegramper parlare di videogiochi
Altri contenuti per Sicurezza informatica
- Queste app per Android contengono un pericoloso virus: disinstallatele subito!
- Torna la truffa degli annunci di lavoro falsi: come riconoscerli e difendersi
- Disinstallate subito queste 3 app Android malevole che mirano al conto in banca
- Torna la truffa del pacco e c'è addirittura una "guida": come riconoscerla
- Fate attenzione alla truffa dei buoni Amazon: come riconoscerla
Sicurezza informatica
Contenuti più Letti
- I tre smartphone Xiaomi migliori per fare foto sensazionali: ecco perché
- 1 commentiCome faccio a sapere se nella mia zona c'è la fibra? Le nuove mappe per FTTH ed FWA
- Follia Samsung Galaxy S24 Ultra: coupon Amazon ABBATTE IL PREZZO
- Unieuro lancia una SUPER OFFERTA su un NOTEBOOK GAMING HP con GPU RTX 4060
- 2 commentiBoston Dynamics sorprende tutti: il nuovo robot Atlas si alza da solo!
- Qual è la città al mondo dove si consuma più vino? Si trova in Italia
- Bimba e padre scoprono il fossile dell'ittiosauro più grande della storia: è record
- 1 commentiMolti husky vengono abbandonati per questa tristissima ragione
- Né zebra, né cavallo: che animale è quello nato nello zoo di Falconara Marittima?
- Questo nuovo sottomarino potrebbe rivoluzionare la guerra marina