Gli attacchi Malware possono prendere il controllo del Vostro Router

In quest’ultimo periodo è emersa una nuova ondata di attacchi alla sicurezza informatica e sta coinvolgendo gli apparati Router. Scoperto dagli analisti di Cisco Talos, gli attacchi Malware possono prendere il controllo del Vostro Router generando non pochi problemi. Il Router è a tutti gli effetti un mini PC e come tale è soggetto a manutenzione e deve essere tenuto aggiornato.

Questo Virus, chiamato VPN Filter ha la capacità di registrare i dati di navigazione su internet eseguiti tramite il vostro PC, Smartphone e altre periferiche collegate sulla vostra rete, modificare i DNS e mettere a rischio i dati sensibili, comprese le password.

Non è sufficiente un riavvio del Router per scongiurare l’attacco ma è necessario verificare che non siano cambiate le configurazioni dell’apparato. Sono molti infatti i Brand di produttori che hanno subito questo attacco e che stanno segnalando la tassativa necessità di andare ad aggiornare il firmware del proprio hardware per evitare questo tipo di attacchi.

Questo tipo di virus è anche in grado di disattivare completamente la funzionalità del Router creando disservizi e criticità bloccanti ai propri sistemi informatici e di telecomunicazioni su IP. In alcuni casi non è più possibile riutilizzare l’hardware.

Una delle situazioni più comuni è il cambio dei DNS. Il cambio dei DNS permette infatti di controllare e reindirizzare il traffico dati a piacimento verso portali web altrettanto infetti o fraudolenti. A rischio password e credenziali di accesso alla posta elettronica, alle piattaforme di Home Banking, Social , ecc. Per applicazioni professionali, di solito, i DNS sono inseriti manualmente utilizzando DNS comuni (es. DNS di Google 8.8.8.8- 8.8.4.4 ) o specifici forniti dal proprio ISP. Questi vengono sostituiti con altri DNS che reindirizzano il traffico su altri siti fraudolenti.

Un altro tipo di attacco è quello CSRF (cross-site request forgery). Questo tipo di attacco viene operato tramite plugin in JavaScript caricati su portali infetti e permette di accedere all’interfaccia web di amministrazione del Router per cambiare le impostazioni e gli accessi, sfruttandoli in un secondo momento. Questi virus non vengono necessariamente installati aprendo allegati infetti ma possono essere eseguiti come “download drive-by” da siti infetti.

 

Consigli utili:

  • Verificare i DNS configurati nel router, che non siano variati rispetto a quelli configurati in fase di prima installazione. Uno dei DNS segnalati che viene sostituito è il seguente 38.134.121.95 classificato come Hacking, SQL Injection.
  • Aggiornare il FW del Router all’ultima release rilasciata dal produttore che colmerà le lacune di sicurezza riscontrate.
  • Disabilitare l’accesso remoto se non strettamente necessario, attaccabile tramite bot.
  • Password di accesso complessa: Cambiare la password di accesso al Router con una psw complessa che contenga caratteri speciali, numeri e lettere maiuscole e minuscole.

Note:

Attacchi al Router possono compromettere oltre che la sicurezza anche la corretta funzionalità dei sistemi informatici e di telecomunicazioni connessi nella rete LAN. Per esempio si potrebbero verificare dei malfunzionamenti del proprio IPPBX per effettuare aggiornamenti automatici, accedere alla console di gestione, allineare i certificati e chiavi di licenza, perdita di registrazione dei telefoni software, perdita della registrazione dei trunk SIP, furto delle credenziali e altro.

Mantenere monitorati e aggiornati i vari apparti hardware (Router, Server, Appliance, AP, Telefoni IP) e software (S.O. Antivirus, Centralino Telefonico 3CX) alle ultime release di FW e di versione permette di avere una minor vulnerabilità agli attacchi esterni e il generarsi di criticità a volte irrimediabili.

E’ evidente come fra gli apparati più esposti vi siano i router commerciali non destinati ad impiego in ambito professionale. Per questa ragione, anche in ottemperanza a quanto richiesto dalla recente normativa GDPR sulla privacy e sicurezza dei dati aziendali, si raccomanda agli utenti professionali l’impiego di apparecchiature in grado di assicurare una idonea protezione, per le quali siano previsti aggiornamenti e supporto software/firmware di lungo periodo.