Un gran numero di router Linksys, nome iconico che per anni è stato sinonimo stesso di reti wireless sia d’ufficio che casalinghe, risulta essere vulnerabile. Un grave bug è stato infatti dimostrato da una documentazione ormai pubblica e contenente un proof-of-concept che inchioda il gruppo. Il problema però è aggravato inoltre dal fatto che il semplice sforzo accademico della dimostrazione è accompagnato in parallelo da un exploit vero e proprio in grado di colpire i router vulnerabili, aggirarne le misure di sicurezza impostate e approfittare quindi della situazione per attacchi più o meno mirati.
L’exploit è implementato all’interno di quello ce SANS Institute’s Internet Storm Center ha descritto come “The Moon“: il malware è in grado di aggirare l’autenticazione del router, accedendovi anche in assenza di username e password. Il primo problema apportato è una sorta di intasamento sulle porte 80 e 8080, con conseguente rallentamento delle attività sui device collegati. Il malware è stato immediatamente confermato dalla stessa Linksys (oggi parte del gruppo Belkin), la quale ha confermato lo stato di vulnerabilità per i router; tra questi ultimi si evidenziano in particolari i modelli E-series (E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900, E300) oltre ad alcuni modelli di tipo Wireless-N (WAG320N, WAP300N, WAP610N, WES610N, WET610N, WRT610N, WRT600N, WRT400N, WRT320N, WRT160N e WRT150N).
Un aspetto importante del malware è però nella sua non-persistenza: è sufficiente togliere l’alimentazione al router per alcuni secondi per rimuovere le tracce dell’attacco. Tale espediente non è invece sufficiente per garantire sicurezza all’utente, poiché anche se riavviato il router rimane vulnerabile. Tuttavia è possibile proteggere il dispositivo con alcune semplici operazioni:
- Accedere alla pagina di setup del router e verificare che sia installata l’ultima versione del firmware (qui le istruzioni);
- Aggiornare il router all’ultima versione del firmware (qui le istruzioni);
- Cliccare sulla tab “Administration”;
- Verificare che alla voce “Remote Management” l’opzione scelta sia quella di default, ossia “Disabled”;
- Cliccare sulla tab “Security”;
- Spuntare la voce “Filter Anonymous Internet Request”;
- Salvare le modifiche apportate;
- Riavviare il router.
Linksys sarebbe al lavoro per lo sviluppo di una patch correttiva che sarà disponibile nelle prossime settimane a mezzo di un nuovo aggiornamento del firmware. Al momento, però, tutto è nelle mani degli utenti: l’exploit è in circolazione e il suo grado di pericolosità non sarebbe “soltanto teoretico”. Controllare la sicurezza del router tramite gli 8 semplici passi precedentemente indicati consente quindi un ragionevole tasso di garanzia alla propria navigazione, mettendo al riparo il codice da possibili attacchi.