News

TP-Link corregge una vulnerabilità nei router più datati, la quale consentiva l’esecuzione di codice su tali dispositivi

TP-Link, il noto produttore di router ed altri dispositivi di rete, ha chiuso, di recente, una vulnerabilità individuata su una linea di router non più in produzione. Se sfruttata, tale vulnerabilità avrebbe potuto essere utilizzata per eseguire codice sul dispositivo.

I ricercatori di Senrio, società specializzata in sicurezza IoT, hanno di fatto scoperto una vulnerabilità logica in un servizio di configurazione presente nei modelli di router PTWR841N V8, prodotti da TP-Link.

Gli esperti della società statunitense si erano peraltro imbattuti in una vulnerabilità simile durante la scorsa estate – una falla di sicurezza che riguardava, allo stesso modo, il servizio di configurazione di un dispositivo “intelligente”. Si trattava, nella circostanza, di un componente vulnerabile nel firmware di oltre un centinaio di modelli delle videocamere Wi-Fi di D-Link; a causa di tale falla i dispositivi in questione risultavano in pratica vulnerabili agli attacchi eseguiti da remoto.

Per quel che riguarda – nello specifico – i router, sfruttando il bug rilevato nel firmware di tali apparecchi, i ricercatori sono stati in grado di resettare le credenziali del dispositivo, utilizzate per accedere alla configurazione dello stesso, e da lì sono poi riusciti ad ottenere la possibilità di eseguire del codice sul router, attraverso uno stack overflow.

Dopo che i ricercatori di Senrio hanno portato tale problema all’attenzione della divisione di TP-Link che si occupa delle tematiche di sicurezza, il produttore dei dispositivi in causa ha deciso di rimuovere il servizio di configurazione dal suddetto modello di router, anche se si tratta, in realtà, di un modello appartenente ad una linea non più in produzione.

I ricercatori hanno indubbiamente apprezzato una simile mossa da parte della società; essi hanno tuttavia lanciato un segnale di allarme, riguardo al fatto che, probabilmente, molti di coloro che utilizzano questi router non fanno uso, per ora, della versione più recente del firmware, dotata dell’apposita patch. A giudicare dai numeri restituiti dalle ricerche effettuate attraverso il noto search engine Shodan, vengono come minimo utilizzati, in tutto il mondo, 93.328 router del genere.

Sino al momento in cui non sono state eliminate, le vulnerabilità sopra descritte avrebbero potuto essere sfruttate nel corso di un attacco di prossimità lanciato tramite uno smartphone – collocato nelle vicinanze dell’apparecchio – nel quale risultasse attivata la funzionalità di hotspot. Un simile attacco avrebbe comportato l’invio di un certo numero di comandi al dispositivo preso di mira. Ma andiamo ad esaminare tutto quanto un po’ più in dettaglio.

Il servizio di configurazione consentiva, ad un utente che si trovasse entro il perimetro della rete, di poter leggere ed assegnare le impostazioni di sistema. Qualsiasi parametro inerente ai comandi attraverso i quali quanto sopra descritto poteva essere realizzato, avrebbe dovuto essere cifrato per mezzo di un’apposita chiave, generata sulla base dei dati riguardanti login e password utilizzati per accedere alle procedure di configurazione. Essendo riusciti ad ottenere la versione criptata del testo relativo a tale servizio di configurazione, i ricercatori si sono resi conto che lo stesso poteva essere copiato, ed essere reinviato al router come parametro di comando. I ricercatori hanno in seguito assegnato all’hotspot realizzato grazie allo smartphone un nome che coincideva, di fatto, con la versione cifrata del testo; successivamente, essi hanno provveduto ad inviare al router il comando relativo alla ricerca di hotspot situati nelle vicinanze. Prima di far questo, tuttavia, essi hanno aggiunto la parola “init” al termine della denominazione.

“Sapevamo che, negli 8 caratteri situati dopo la porzione di testo criptato a noi già nota, avremmo trovato la versione cifrata della parola “init” – scrivono i ricercatori. – E che, una volta che avessimo potuto disporre di “init” in forma codificata, avremmo potuto utilizzare lo stesso in qualità di parametro per un comando specifico, in grado di resettare il router alle impostazioni predefinite. Tra l’altro, anche per login e password sono stati poi ripristinati i valori di default”.

Ebbene, successivamente i ricercatori hanno fatto uso di un attacco in grado di provocare uno stack overflow, con il preciso scopo di effettuare una semplice dimostrazione: essi hanno così lanciato l’esecuzione di un codice che, di fatto, costringeva il router ad emettere un lampeggio, corrispondente alle parole “Hi Senrio” in codice Morse.

All’interno del blog post dedicato alla vulnerabilità individuata, pubblicato dai ricercatori lo scorso lunedì 19 giugno, è possibile trovare un video con un’esauriente dimostrazione dell’attacco qui sopra descritto.

Come ha dimostrato la ricerca condotta presso l’Università israeliana intitolata a Ben-Gurion, pubblicata la scorsa settimana, tramite il lampeggiamento dei propri LED il router può trasmettere non solo i contenuti relativi ad uno “scherzo”, ma anche dati importanti. I ricercatori israeliani affermano, nella circostanza, di essere stati in grado di estrarre dati ad una velocità di 8.000 bit al secondo, utilizzando un router provvisto di otto luci LED.

Allo stesso modo, i ricercatori all’opera presso la società Senrio sostengono che un eventuale attaccante potrebbe sfruttare la vulnerabilità in questione allo scopo di modificare le impostazioni del router, costringendo quest’ultimo a reindirizzare il traffico verso un server maligno.

Source: Threatpost

TP-Link corregge una vulnerabilità nei router più datati, la quale consentiva l’esecuzione di codice su tali dispositivi

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox