I ricercatori del Talos Intelligence Group di Cisco hanno scoperto a fine maggio un pericoloso malware, denominato VPNFilter, che può colpire i router e i NAS di vari produttori rendendoli inutilizzabili attraverso la sovrascrittura del firmware. Symantec ha sviluppato un tool gratuito che rileva l’eventuale presenza di VPNFilter, in particolare del modulo che intercetta il traffico web.
Il malware è piuttosto complesso, in quanto è modulare, multi-stadio e persistente al riavvio dei dispositivi di rete. Uno dei plugin, denominato “ssler“, permette di effettuare attacchi man-in-the-middle. I malintenzionati possono intercettare tutto il traffico destinato alla porta 80 del router. Le richieste HTTPS vengono convertite in richieste HTTP, disattivando la crittografia TLS. Ciò facilita il furto di dati sensibili, come le credenziali di accesso alla rete interna. Le aziende corrono i pericoli maggiori, ma anche gli utenti privati non sono al sicuro, dato che l’elenco dei router include modelli molto diffusi sul mercato consumer.
VPNFilter Check, il tool di Symantec disponibile gratuitamente online, verifica se il router è stato infettato dal modulo ssler e suggerisce i passi successivi nel caso in cui venga rilevata la sua presenza. La software house consiglia di seguire le seguenti istruzioni:
- Effettuare un hard reset per ripristinare le impostazioni di fabbrica, dopo aver salvato la configurazione del router
- Spegnere e riavviare il router
- Scollegare il router da Internet e sostituire la password di amministratore predefinita con una password più sicura
- Applicare l’ultimo aggiornamento rilasciato dal produttore
Questa procedura è necessaria perché sul router potrebbero esserci altri componenti di VPNFilter che possono essere rimossi solo con un hard reset. Se invece il firmware originale è stato sovrascritto, l’unica soluzione è comprare un router nuovo, in quanto il ripristino è quasi impossibile.