VPNFilter: il malware che infetta i router sarebbe più grave del previsto

Qualche settimana fa su queste pagine vi abbiamo parlato di VPNFilter, il malware legato alla Russia che avrebbe infettato quasi 500.000 router a livello mondiale. Secondo quanto riferito da alcuni siti, il malware sarebbe più grave del previsto e molto difficile da rimuovere.

Attraverso uno studio del virus effettuato dal team di sicurezza Talos di Cisco, è risultato che il malware è più potente di quanto inizialmente pensato e funzionerebbe su una base molto più ampia di modelli, molti dei quali prodotti da case precedentemente non interessate.

Gli aggressori inoltre sarebbero in grado di utilizzare il modulo SSLER per iniettare carichi dannosi nel traffico, mentre questo passa attraverso il router infetto. I payload possono essere personalizzare per specifici dispositivi connessi alla rete infatti. Il modulo potrebbe anche essere utilizzato per modificare il contenuto dei siti web, ingannando gli utenti.

Oltre a manipolare segretamente il traffico consegnato agli endpoint all'interno di una rete infetta, SSLER è progettato per rubare dati sensibili passati attraverso gli endpoint connessi e l'internet esterno. Questo ispeziona gli URL dei siti web, intercettando i segnali che trasmettono password ed altri dati sensibili in modo che possano essere copiati ed inviati ai server controllati dagli aggressori.

Per bypassare la crittografia TLS, che è progettata per prevenire tali attacchi, SSLER esegue il downgrade dalle connessioni HTTPS protette al traffico HTTP classico. Per il traffico verso Google, Facebook, Twitter e YouTube, ovvero tutto quei servizi che includono funzionalità di sicurezza aggiuntive, il modulo elimina la compressione dei dati fornita dall'applicazione GZIP perchè il traffico di testo in chiaro è più facile da modificare.

Secondo Cisco, VPNFilter rappresenta ad oggi la minaccia più potente mai rivolta a più dispositivi, rispetto a quanti ne sono stati riportati due settimana fa. In precedenza infatti i ricercatori credevano che l'obiettivo principale di VPNFilter fosse quello di utilizzare switch, router e dispositivi di archiviazione di rete di piccole dimensioni, per lanciare attacchi su obiettivi. La scoperta del modulo SSLER invece suggerisce che i proprietari dei router stessi sarebbero l'obiettivo principale dell'attacco.

Talos ha suggerito che VPNFilter si rivolge anche ad un numero molto maggiore di dispositivi.

Dispositivi Asus:

• RT-AC66U (nuovo)
• RT-N10 (nuovo)
• RT-N10E (nuovo)
• RT-N10U (nuovo)
• RT-N56U (nuovo)
• RT-N66U (nuovo)

Dispositivi D-Link:

• DES-1210-08P (nuovo)
• DIR-300 (nuovo)
• DIR-300A (nuovo)
• DSR-250N (nuovo)
• DSR-500N (nuovo)
• DSR-1000 (nuovo)
• DSR-1000N (nuovo)

Dispositivi Huawei:

• HG8245 (nuovo)

Dispositivi Linksys:

• E1200
• E2500
• E3000 (nuovo)
• E3200 (nuovo)
• E4200 (nuovo)
• RV082 (nuovo)
• WRVS4400N

Dispositivi Mikrotik:

• CCR1009 (nuovo)
• CCR1016
• CCR1036
• CCR1072
• CRS109 (nuovo)
• CRS112 (nuovo)
• CRS125 (nuovo)
• RB411 (nuovo)
• RB450 (nuovo)
• RB750 (nuovo)
• RB911 (nuovo)
• RB921 (nuovo)
• RB941 (nuovo)
• RB951 (nuovo)
• RB952 (nuovo)
• RB960 (nuovo)
• RB962 (nuovo)
• RB1100 (nuovo)
• RB1200 (nuovo)
• RB2011 (nuovo)
• RB3011 (nuovo)
• RB Groove (nuovo)
• RB Omnitik (nuovo)
• STX5 (nuovo)

Dispositivi Netgear:

• DG834 (nuovo)
• DGN1000 (nuovo)
• DGN2200
• DGN3500 (nuovo)
• FVS318N (nuovo)
• MBRN3000 (nuovo)
• R6400
• R7000
• R8000
• WNR1000
• WNR2000
• WNR2200 (nuovo)
• WNR4000 (nuovo)
• WNDR3700 (nuovo)
• WNDR4000 (nuovo)
• WNDR4300 (nuovo)
• WNDR4300 (nuovo)
• WNDR4300 -TN (nuovo)
• UTM50 (nuovo)

Dispositivi QNAP:

• TS251
• TS439 Pro
• Altri dispositivi QNAP NAS con software QTS

Dispositivi TP-Link:

• R600VPN
• TL-WR741ND (nuovo)
• TL-WR841N (nuovo)

Dispositivi Ubiquiti:

• NSM2 (nuovo)
• PBE M5 (nuovo)

Dispositivi ZTE:

• ZXHN H108N (nuovo)

Di seguito un comunicato di TP-Link:

“TP-Link, da sempre attiva nel garantire il più alto livello di sicurezza, per quanto concerne la vulnerabilità VPNFilter recentemente portata alla luce da diversi operatori di settore, comunica di non aver rilevato alcun rischio inerente i propri prodotti. Per assicurare il massimo livello di protezione, come da best-practice, l’azienda suggerisce di verificare periodicamente la disponibilità di aggiornamenti software e firmware al link https://www.tp-link.com/download-center.html
TP-Link consiglia, inoltre, di modificare le credenziali predefinite per l’accesso alle interfacce di configurazione dei prodotti come descritto alla pagina https://www.tp-link.com/faq-73.html
TP-Link è costantemente al lavoro nel monitorare qualsiasi vulnerabilità, pertanto, aggiornamenti informativi e firmware/software saranno rilasciati in caso di necessità. Per qualsiasi ulteriore informazione, il Supporto Tecnico TP-Link rimane naturalmente a disposizione al link https://www.tp-link.com/it/support-contact.html“.