Un po’ di tempo fa vi avevamo informati della presenza di un Trojan che poteva colpire alcuni router e modificarne i server dns per reindirizzare gli utenti verso siti malevoli. Una minaccia di basso livello in quanto questo Trojan, davvero poco diffuso, aveva efficacia solo se sul router erano impostate ancora le password di default.
Arriva purtroppo adesso una notizia di un Worm molto più sofisticato che attaccherebbe tutti i router dotati di “processore MIPS” e sistema operativo basato su “Kernel Linux”. In sostanza si tratterebbe principalmente dei router Netgear e Linksys.
La notizia la riporta un sito americano che si occupa di sicurezza, DroneBL.
Analizzando il codice del Worm si sarebbe scoperto che al suo interno è compreso un nutrito elenco di “combinazioni di user e password” che il software malevolo utilizzerebbe per bucare il router tentando collegamenti SSH o Telnet utilizzando la tecnica della “forza bruta”.
Lo scopo del Worm è molto preciso ed è quello di rendere i router (che oramai sono sempre connessi alla rete) dei BOT in grado di lanciare “attacchi DDoS” verso target specifici.
Sfortunatamente sui modelli fascia medio bassa sarebbe quasi impossibile verificare la presenza di questo Worm in quanto l’unico modo per scoprirlo è l’analisi del traffico in entrata/uscita.
Quest’analisi è quasi impossibile sui modelli consumer. Discorso diverso per i router di fascia alta, ma qui si spera che siano anche dotati di maggiori protezioni.
Per proteggersi il metodo è uno solo, ed è quello di modificare subito le password di default e di utilizzarne di complicate e se possibile di “bloccare la possibilità di collegamenti via SSH o Telnet”.
Nella caso sfortunato in cui vi accorgiate di essere affetti dal Worm, per eliminare la minaccia è sufficiente un hard reset del router.