TP-Link corregge una vulnerabilità nei router più datati, la quale consentiva l’esecuzione di codice su tali dispositivi

TP-Link, il noto produttore di router ed altri dispositivi di rete, ha chiuso, di recente, una vulnerabilità individuata su una linea di router non più in produzione. Se sfruttata, tale vulnerabilità avrebbe potuto essere utilizzata per eseguire codice sul dispositivo.

I ricercatori di Senrio, società specializzata in sicurezza IoT, hanno di fatto scoperto una vulnerabilità logica in un servizio di configurazione presente nei modelli di router PTWR841N V8, prodotti da TP-Link.

Gli esperti della società statunitense si erano peraltro imbattuti in una vulnerabilità simile durante la scorsa estate – una falla di sicurezza che riguardava, allo stesso modo, il servizio di configurazione di un dispositivo “intelligente”. Si trattava, nella circostanza, di un componente vulnerabile nel firmware di oltre un centinaio di modelli delle videocamere Wi-Fi di D-Link; a causa di tale falla i dispositivi in questione risultavano in pratica vulnerabili agli attacchi eseguiti da remoto.

Per quel che riguarda – nello specifico – i router, sfruttando il bug rilevato nel firmware di tali apparecchi, i ricercatori sono stati in grado di resettare le credenziali del dispositivo, utilizzate per accedere alla configurazione dello stesso, e da lì sono poi riusciti ad ottenere la possibilità di eseguire del codice sul router, attraverso uno stack overflow.

Dopo che i ricercatori di Senrio hanno portato tale problema all’attenzione della divisione di TP-Link che si occupa delle tematiche di sicurezza, il produttore dei dispositivi in causa ha deciso di rimuovere il servizio di configurazione dal suddetto modello di router, anche se si tratta, in realtà, di un modello appartenente ad una linea non più in produzione.

I ricercatori hanno indubbiamente apprezzato una simile mossa da parte della società; essi hanno tuttavia lanciato un segnale di allarme, riguardo al fatto che, probabilmente, molti di coloro che utilizzano questi router non fanno uso, per ora, della versione più recente del firmware, dotata dell’apposita patch. A giudicare dai numeri restituiti dalle ricerche effettuate attraverso il noto search engine Shodan, vengono come minimo utilizzati, in tutto il mondo, 93.328 router del genere.

Sino al momento in cui non sono state eliminate, le vulnerabilità sopra descritte avrebbero potuto essere sfruttate nel corso di un attacco di prossimità lanciato tramite uno smartphone – collocato nelle vicinanze dell’apparecchio – nel quale risultasse attivata la funzionalità di hotspot. Un simile attacco avrebbe comportato l’invio di un certo numero di comandi al dispositivo preso di mira. Ma andiamo ad esaminare tutto quanto un po’ più in dettaglio.

Il servizio di configurazione consentiva, ad un utente che si trovasse entro il perimetro della rete, di poter leggere ed assegnare le impostazioni di sistema. Qualsiasi parametro inerente ai comandi attraverso i quali quanto sopra descritto poteva essere realizzato, avrebbe dovuto essere cifrato per mezzo di un’apposita chiave, generata sulla base dei dati riguardanti login e password utilizzati per accedere alle procedure di configurazione. Essendo riusciti ad ottenere la versione criptata del testo relativo a tale servizio di configurazione, i ricercatori si sono resi conto che lo stesso poteva essere copiato, ed essere reinviato al router come parametro di comando. I ricercatori hanno in seguito assegnato all’hotspot realizzato grazie allo smartphone un nome che coincideva, di fatto, con la versione cifrata del testo; successivamente, essi hanno provveduto ad inviare al router il comando relativo alla ricerca di hotspot situati nelle vicinanze. Prima di far questo, tuttavia, essi hanno aggiunto la parola “init” al termine della denominazione.

“Sapevamo che, negli 8 caratteri situati dopo la porzione di testo criptato a noi già nota, avremmo trovato la versione cifrata della parola “init” – scrivono i ricercatori. – E che, una volta che avessimo potuto disporre di “init” in forma codificata, avremmo potuto utilizzare lo stesso in qualità di parametro per un comando specifico, in grado di resettare il router alle impostazioni predefinite. Tra l’altro, anche per login e password sono stati poi ripristinati i valori di default”.

Ebbene, successivamente i ricercatori hanno fatto uso di un attacco in grado di provocare uno stack overflow, con il preciso scopo di effettuare una semplice dimostrazione: essi hanno così lanciato l’esecuzione di un codice che, di fatto, costringeva il router ad emettere un lampeggio, corrispondente alle parole “Hi Senrio” in codice Morse.

All’interno del blog post dedicato alla vulnerabilità individuata, pubblicato dai ricercatori lo scorso lunedì 19 giugno, è possibile trovare un video con un’esauriente dimostrazione dell’attacco qui sopra descritto.

Come ha dimostrato la ricerca condotta presso l’Università israeliana intitolata a Ben-Gurion, pubblicata la scorsa settimana, tramite il lampeggiamento dei propri LED il router può trasmettere non solo i contenuti relativi ad uno “scherzo”, ma anche dati importanti. I ricercatori israeliani affermano, nella circostanza, di essere stati in grado di estrarre dati ad una velocità di 8.000 bit al secondo, utilizzando un router provvisto di otto luci LED.

Allo stesso modo, i ricercatori all’opera presso la società Senrio sostengono che un eventuale attaccante potrebbe sfruttare la vulnerabilità in questione allo scopo di modificare le impostazioni del router, costringendo quest’ultimo a reindirizzare il traffico verso un server maligno.

Source: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *