I ricercatori del Talos Intelligence Group di Cisco avevano scoperto un potente malware che colpisce diversi router, rendendoli inutilizzabili attraverso la riscrittura del firmware. Dopo aver analizzato in dettaglio il codice di VPNFilter, gli esperti dell’azienda californiana hanno individuato nuove funzionalità che possono causare danni ancora più gravi. Inoltre il numero di dispositivi interessati è maggiore del previsto.
Inizialmente l’elenco comprendeva router e NAS di Linksys, MikroTik, Netgear, TP-Link e QNAP. Cisco ha scoperto che sono stati colpiti anche diversi router di ASUS, D-Link, Huawei, Ubiquiti, UPVEL e ZTE. VPNFilter ha una struttura modulare e multi-stadio. Cisco ha scoperto due nuovi moduli, uno dei quali permette di eseguire attacchi man-in-the-middle, intercettando il traffico web sulla porta 80, iniettando codice infetto e soprattutto disattivando la crittografia TLS. In pratica tutte le richieste HTTPS diventano richieste HTTP, quindi è possibile rubare le credenziali di accesso e altri dati sensibili.
Ciò significa che il target di VPNFilter è più ampio di quanto ipotizzato. Il malware può essere utilizzato non solo per interrompere la connessione ad Internet, danneggiando irreversibilmente il router, ma anche per manipolare il traffico attraverso il dispositivo compromesso. La disattivazione della crittografia TLS semplifica, ad esempio, l’accesso agli account bancari.
Il secondo modulo viene invece usato per attivare l’auto-distruzione, ovvero la cancellazione dei file necessari alla normale operatività e l’intero file system con il comando “rm -rf /*”. L’obiettivo è nascondere le tracce dell’infezione in caso di analisi forense. Ovviamente il router non funzionerà più. Nonostante il sequestro di un dominio da parte dell’FBI, VPNFilter è ancora attivo.
Aggiornamento dell’8 giugno
TP-Link ha rilasciato il seguente comunicato ufficiale:
TP-Link, da sempre attiva nel garantire il più alto livello di sicurezza, per quanto concerne la vulnerabilità VPNFilter recentemente portata alla luce da diversi operatori di settore, comunica di non aver rilevato alcun rischio inerente i propri prodotti. Per assicurare il massimo livello di protezione, come da best-practice, l’azienda suggerisce di verificare periodicamente la disponibilità di aggiornamenti software e firmware al link https://www.tp-link.com/download-center.html
TP-Link consiglia, inoltre, di modificare le credenziali predefinite per l’accesso alle interfacce di configurazione dei prodotti come descritto alla pagina https://www.tp-link.com/faq-73.html
TP-Link è costantemente al lavoro nel monitorare qualsiasi vulnerabilità, pertanto, aggiornamenti informativi e firmware/software saranno rilasciati in caso di necessità. Per qualsiasi ulteriore informazione, il Supporto Tecnico TP-Link rimane naturalmente a disposizione al link https://www.tp-link.com/it/support-contact.html