Attacchi ai router ADSL

luce rossaTeam Cymru ha pubblicato un report [PDF] che descrive una serie di attacchi portati ai router ADSL di fascia casalinga o SOHO.

I dispositivi coinvolti sono di molte marche tra cui TP-Link, ZxXEL, D-Link, Micronet, Tenda. Le vittime di questi attacchi sono concentrate in pochi Stati, tra cui anche l’Italia.

L’attacco sfrutta delle vulnerabilità del firmware dei dispositivi che permettono di modificare la configurazione dei dispositivi da remoto senza conoscere la password di accesso. Questi router permettono di modificare la configurazione da un IP esterno alla LAN per consentire al provider o comunque a chi fornisce il supporto di modificare le impostazioni senza intervenire sul posto.

L’attacco consiste nel modificare l’impostazione del DNS del router in uno di questi: 5·45·75·11, 5·45·75·36, 95·211·241·94 o 95·211·205·5. Si tratta di DNS pirata che possono ridirigere il traffico verso siti civetta, phishing o altro.

Generalmente nelle installazioni casalinghe e nei piccoli uffici i computer della rete utilizzano il router ADSL come server DHCP, che configura i client utilizzando il server DNS impostato nella configurazione.

Indipendentemente dal modello di router, se questo non è fornito dalla compagna telefonica, è bene verificare che la funzione di accesso remoto alla configurazione sia disabilitato. Se vi è stato fornito da una società di servizi che gestisce la configurazione e la manutenzione chiedete che effettui una verifica. Mettere una password complessa all’utente amministrativo non risolve il problema perché la vulnerabilità del firmware è tale per cui la modifica alla configurazione viene fatta senza conoscere la password.

Bisogna soprattutto controllare la configurazione dei server DNS utilizzati, che dovrebbero essere quelli del provider, quelli di Google (8.8.8.8 e 8.8.4.4) oppure quelli di OpenDNS (208.67.222.222 e 208.67.220.220); in caso di dubbio, annotare la configurazione attuale dei DNS e impostare quelli di Google o di OpenDNS.

Se si dispone di un altro dispositivo sempre acceso che ospita un server DHCP come un access point oppure un NAS di ultima generazione, è bene usare quelli per distribuire gli indirizzi IP e disabilitare il DHCP del router. (via Threat Post)

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

8 pensieri riguardo “Attacchi ai router ADSL”

  1. Vista giusto ieri mattina sul router di casa di mio padre, un TP-Link vecchio e fuori produzione, per il quale non esiste piu` alcun supporto, quindi non posso nemmeno aggiornare il firmware. L’attaccante ha cambiato il dns ma ha anche fatto una configurazione errata della connessione ADSL, abilitando un virtual ciruit configurato in modo errato (bridged anziche` pppoa), tagliandosi cosi` fuori dal router (e tagliando l’utente fuori da internet).

    La cosa che sto cercando di capire e` se posso impedire l’attacco bloccando totalmente l’accesso di management dall’esterno a mezzo delle ACL del router, oppure se anche questo blocco e` aggirabile.

    1. Stando a quello che dicono PARE che disabilitando il remote mgmt e/o applicando delle ACL si risolva il problema.

      Io però investirei 30 o 40 eurini per un router nuovo, magari che supporti [dd|open]-wrt, giusto per evitare che fra un mese scoprano un’altra falla.

          1. molti modelli sono introvabili o obsoleti oppure c’e` una nota che dice che il modem adsl non e` supportato. Per esempio, il modem Alice bianco lucido, del quale abbiamo grande disponibilita`, e` supportato ma SENZA funzione ADSL. Il problema e` che non esistono i driver open per i modem ADSL.

  2. Segnalo altri DNS che vengono usati per modificare i router:

    128.199.225.6
    37.1.198.204
    68.168.98.196
    23.253.94.129

    Fra i Marchi colpiti, molto diffusi in Italia, ci sono anche vari modelli Kraun: (KR.XL, KT.KS, KN-3N, KR.KQ)

    Segnalo inoltre che la TP-Link per alcuni modelli ha rilasciato un aggiornamento che prevede l’Accesso Remoto chiuso per Default e che presto dovrebbe rilasciare un aggiornamento per togliere la vulnerabilità lasciando la possibilità dell’accesso remoto: http://www.tp-link.com/EN/article/?faqid=569

Spazio per un commento