Backdoor sui router D-Link

Quello che era probabilmente un metodo per cambiare dinamicamente le impostazioni del router si è rivelato una pericolosissima backdoor.

Craig Heffner ha scoperto che si può accedere all’interfaccia amministrativa di alcuni router D-Link senza che vengano chieste le credenziali impostando lo User Agent del proprio browser a xmlset_roodkcableoj28840ybtide (se letta al contrario la parte alfabetica è editby joelbackdoor).

Leggi tutto “Backdoor sui router D-Link”

Il caso Hetzner

HetznerOggi pomeriggio Hetzner, il servizio che ospita anche il server su cui gira Siamo Geek, ha avvisato che alcuni dei suoi server sono stati compromessi.

Secondo le prime analisi, sarebbe stata trafugata una parte del database degli utenti utilizzati per collegarsi al sistema di gestione dei server, sono state pubblicate anche delle FAQ in merito.

La compromissione sarebbe stata causata da una backdoor creata da un programma che gira in RAM e non modifica gli eseguibili. Ricorda qualcosa questa definizione? Da qualche decennio lo chiamiamo virus e da qualche decennio lo combattiamo con una famiglia di programmi nota come “antivirus”, quei programmi che si caricano all’avvio e tengono d’occhio il sistema per impedire che altri programmi facciano quello che non dovrebbero.

Ecco che chi si credeva al sicuro solo perché usava un determinato sistema operativo e un metodo basato sulle checksum dei binari si scopre improvvisamente vulnerabile ad un attacco portato con una delle più vecchie forme di malware.

Probabilmente (ma è un’ipotesi azzardata) Selinux avrebbe potuto mitigare il danno, oppure l’ha mitigato. Sto facendo un po’ di test sulla mia pelle (il server casalingo) con Selinux, appena ho qualcosa di concreto arriva un articolo.

Nel frattempo, giova ancora una volta ricordare che nessuno è al sicuro per il solo fatto di utilizzare un sistema operativo piuttosto che un altro.

Oltre 100.000 router di Deutsche Telekom vulnerabili

Oltre 100.000 router Speedport modello W921V, W504V e W723V hanno una backdoor attiva sul wi-fi.

La funzione WPS del router ha un PIN 12345670 cablato e utilizzabile anche senza la pressione di alcun tasto sull’apparecchio.

Come se non bastasse, il pin è attivo anche se la funzione WPS viene disattivata. L’unico modo, per ora, per impedire lo sfruttamento della backdoor è di disabilitare il wi-fi sui modelli interessati.

Gli Speedport sono i router forniti da Deutsche Telekom ai suoi clienti ADSL. (via The Hacker News)