DNS modificati sul router e redirect verso pagine malevole: come risolvere

• DNS

Ne avevamo già parlato in passato ma il problema, nelle ultime settimane, sta divenendo piuttosto sentito anche in Italia: visitando siti web come Google, Facebook, Repubblica e così via, viene effettuato un redirect verso le pagine del noto virus Polizia di Stato, Polizia postale, Arma dei Carabinieri,… (vedere anche Virus Polizia di Stato: rimuovere il malware con quattro diversi metodi e Virus polizia di stato anche su Android, ecco come si presenta) oppure un reindirizzamento su pagine truffaldine che invitano ad installare (falsi) aggiornamenti di Java, Flash Player o di altri componenti (in realtà malware).

Il redirect verso pagine malevole sembra verificarsi sui dispositivi connessi alla medesima rete locale (desktop, notebook, smartphone, tablet,…), nonostante i software antimalware non segnalino la presenza di alcuna infezione.
Il reindirizzamento avviene su tutti quei dispositivi ove non sia stato configurato manualmente l’utilizzo di server DNS specifici e che quindi richiedano esplicitamente al router gli indirizzi dei DNS da utilizzare (assegnazione via DHCP).

La strategia che i criminali informatici stanno sempre più utilizzando nelle ultime settimane, consiste nel modificare i DNS sui router degli utenti sostituendo quelli manualmente impostati (o ricevuti dal provider Internet) con server DNS malevoli contenenti cioè record alterati.
Supponiamo che sul router fossero stati precedentemente impostati i server DNS di Google (8.8.8.8 e 8.8.4.4).
Si supponga che tali DNS risolvano, ad esempio, l’indirizzo “mnemonico” di Facebook con l’IP 31.13.81.128.
Per accertarlo, è possibile digitare, dal prompt dei comandi di Windows, quanto segue:

nslookup www.facebook.com 8.8.8.8

Inserendo l’indirizzo 31.13.81.128, nella casella pubblicata in questa pagina, ci si accorgerà immediatamente che trattasi di un IP di proprietà di Facebook (tutto corretto!).

Il server DNS modificato sul router da parte dei criminali informatici, invece, molto probabilmente non risolverà www.facebook.com come 31.13.81.128 (o comunque con l’IP di un’altra macchina appartenente all’infrastruttura di Facebook) ma con un IP arbitrario, tipicamente facente riferimento ad una pagina truffaldina.
Sarà facile verificarlo digitando, al prompt dei comandi, quanto segue:

nslookup www.facebook.com IP_DNS_MALEVOLO

Al posto di IP_DNS_MALEVOLO dovrà essere ovviamente specificato l’IP del DNS che si è trovato nel pannello di configurazione del proprio router al posto degli indirizzi precedentemente impostati.
Inserendo l’IP restituito nella casella pubblicata in questa pagina si noterà immediatamente come esso non sia di proprietà di Facebook.

Perché i DNS sono modificati sul router? Come avviene l’attacco

Oggigiorno ci si collega alla rete Internet, da postazione fissa, utilizzando un router dotato di funzionalità NAT: la stessa connessione di rete risulta così condivisibile e contemporaneamente utilizzabile da parte di più sistemi. L’utilizzo di router dotati di funzionalità firewall, inoltre, permette di fidare su un buon livello di protezione contro alcune tipologie di minacce provenienti dalla rete Internet. A tal proposito, suggeriamo la lettura dei nostri articoli:

– Configurare router: guida per tutti i modelli ed i provider Internet
– Aprire porte sul router e chiuderle quando non più necessario
– Connessione Internet lenta: come diagnosticare e risolvere il problema

Tutti i router disponibili oggi sul mercato permettono la loro configurazione attraverso una comoda interfaccia web, accessibile digitando nel browser web, ad esempio, indirizzi IP locali come 192.168.1.1 e 192.168.0.1.

Alcune interfacce per l’amministrazione dei router, tuttavia, presentano delle vulnerabilità che espongono ad attacchi XSS, CSRF, command injection o comunque basati su una procedura di autenticazione insicura.

Nel caso dei router equipaggiati con un’interfaccia di amministrazione web vulnerabile (falla CSRF), un aggressore può riuscire a modificare i server DNS, inserendo IP arbitrari, semplicemente provocando il caricamento – ad esempio usando semplice codice JavaScript – di un URL locale con cui viene richiesto al router di alterare i DNS.
Inserendo in un qualunque sito web (o negli elementi richiamati da qualsiasi pagina visitata in Rete) codice JavaScript in grado di richiamare URL simili a http://admin:admin@192.168.1.1/..., l’aggressore potrebbe essere in grado di modificare i DNS sul router. L’attacco risulterà efficace, ovviamente, solo sui router vulnerabili. Come si vede, vengono utilizzate accoppiate nome utente/password standard (del tipo admin,admin o admin,password).

La prima regola d’oro è quindi quella di cambiare immediatamente la password di default utilizzata per l’accesso all’interfaccia di amministrazione del router e di effettuare il logout dallo stesso pannello di configurazione del dispositivo, dopo aver terminato il proprio lavoro.

Esistono in circolazione anche molti router affetti dalla cosiddetta falla ROM-0.
In questo caso, l’aggressione non ha luogo partendo da link o codici presenti in pagine web malevole o su e-mail in arrivo nella propria casella di posta ma sfrutta una pericolosissima lacuna di sicurezza introdotta in alcuni dispositivi.
Con alcuni modelli di router che sono equipaggiati con il sistema operativo ZynOS, l’aggressore remoto può provare a collegarsi all’indirizzo http://IP_ROUTER_VULNERABILE/rom-0.
Ottenendo risposta, questi potrà scaricare una porzione della memoria del router vulnerabili.
Utilizzando uno script eseguito in locale oppure uno dei tanti strumenti disponibili online, lo stesso aggressore può agevolmente decomprimere e decodificare il file ottenendo la password per l’accesso al router vulnerabile.
Dal momento che l’attacco, per andare a buon fine, non necessita di alcuna interazione da parte dell’utente, l’aggressore può effettuare una scansione di interi gruppi di IP alla ricerca di router vulnerabili.
Inoltre, dal momento che le operazioni di scansione ed attacco possono essere automatizzate utilizzando semplici script, è immediato comprendere in che modo questo tipo di aggressioni abbiano preso piede anche nel nostro Paese.

Risolvere il problema dei DNS modificati sul router

Per eliminare i DNS modificati sul router e fare in modo che il problema non si riproponga in futuro, suggeriamo l’applicazione dei seguenti passi:

1) Effettuare, da un qualsiasi dispositivo connesso al router, in rete locale, questo test.
Si tratta di una verifica sviluppata dall’autorità che, nella Repubblica Ceca, si occupa dell’assegnazione dei nomi a dominio.
La pagina web è in grado di rilevare l’indirizzo IP con cui ci si presenta e che nel 99% dei casi (a meno che non si utilizzino applicazioni per il mascheramento dell’IP) è l’indirizzo assegnato dal provider Internet al proprio router al momento della connessione.
Facendo clic su Test, quindi, è immediatamente possibile stabilire se il proprio dispositivo risulta o meno vulnerabile ad attacchi provenienti dall’esterno.

2) Accedere all’interfaccia di configurazione del router (di solito basta cliccare qui oppure qui).
Nel caso in cui le password di default (generalmente admin,admin o admin,password) non funzionassero, è altamente probabile che oltre ad essere stati modificati i server DNS, gli aggressori abbiano alterato anche username e password predefinite. In questo caso, bisognerà operare un reset completo del router (utilizzando il tasto “nascosto” generalmente posizionato sul retro del dispositivo).
Per effettuare una nuova configurazione da zero del router, è possibile aiutarsi con la guida Configurare router: guida per tutti i modelli ed i provider Internet.
Si consiglia comunque di controllare, sul manuale del proprio router, le credenziali di accesso da usare per fare ingresso nell’interfaccia di amministrazione.

3) Verificare i server DNS impostati sul router.
La sezione del pannello di configurazione del router nella quale è possibile impostare gli indirizzi dei server DNS da usare varia da produttore a produttore e da modello a modello.
Di solito, comunque, le regolazioni relative ai server DNS sono nelle sezioni Interface settings, Network settings, WAN/LAN settings.

Nell’esempio in figura, sono correttamente configurati i server DNS di Google.
Viceversa, se si dovessero rilevare IP “strani”, un rapido controllo permetterà di avvalorare la tesi dell’attacco.

Si dovrà quindi, in primis, modificare gli indirizzi dei server DNS alterati ripristinando, per esempio, quelli di Google.

4) Installare il firmware aggiornato per il proprio router.
Molti produttori si sono già attivati per rilasciare un firmware aggiornato per i modelli di router in commercio così da risolvere le vulnerabilità presenti.
Va detto che, purtroppo, alcuni produttori hanno deciso di non rilasciare firmware aggiornati per i modelli più vecchi, ormai non più in commercio.

Di seguito le pagine web di riferimento per procedere al download dei firmware aggiornati:
– TP-LINK
– D-Link Italia; D-Link (supporto internazionale)
– Hamlet
– Kraun

Un plauso a TP-LINK, società che per prima ha deciso di aggiornare tempestivamente tutti i firmware, anche quelli destinati ai router ormai piuttosto datati e non più sul mercato.

L’upgrade del firmware è un’operazione delicata che dev’essere effettuata senza interruzione. Dopo aver scaricato l’ultima versione del firmware per il proprio modello di router, si dovrà accedere al pannello di amministrazione del dispositivo quindi portarsi nella sezione Firmware upgrade o similare.

È bene tenere presente che l’applicazione di alcuni firmware porta alla rimozione di tutte le precedenti impostazioni del router. In alcuni casi (ad esempio coi firmware TP-LINK più recenti) non è neppure possibile ripristinare un precedente backup delle impostazioni.
In questi frangenti, quindi, si dovrà necessariamente procedere ad una riconfigurazione di sana pianta del dispositivo. Ancora una volta, suggeriamo di aiutarsi con la guida Configurare router: guida per tutti i modelli ed i provider Internet.

5) Dopo aver aggiornato il firmware (ove disponibile), accedendo all’apposita sezione sul router (di solito Manage Control o Access management), si dovranno immediatamente modificare il nome utente e la password di default utilizzate per l’ingresso nel pannello di configurazione del dispositivo.

6) Ove possibile (la funzionalità non è disponibile su tutti i modelli di router in commercio), consigliamo di accedere alla sezione del pannello di configurazione del router attraverso la quale è possibile impostare delle regole di accesso all’amministrazione.

Le Access Control List (ACL) sono delle speciali restrizioni che possono essere attivate per impedire accessi al pannello di amministrazione del router da parte di utenti non autorizzati.
Impostando una ACL (di solito la sezione di riferimento è Access management) per l’IP 0.0.0.0 e selezionando LAN (non quindi WAN né LAN/WAN) come interfaccia, si farà in modo che solamente i sistemi client locali abbiano accesso al pannello di amministrazione del router (esempio).

7) Un altro passaggio fondamentale, consiste nella disabilitazione della funzionalità per l’amministrazione remota del router.
Per procedere, è necessario portarsi nella sezione Manage control, Access management o Remote access (a seconda del router che si sta utilizzando la denominazione potrebbe variare) e porre su Disabled o Disable la funzione Remote management.

Nell’esempio in figura, come si vede, l’accesso al pannello di configurazione del router dalla rete locale è attivo ed è posto in ascolto sulla porta 80; la gestione remota, invece, è correttamente disattivata.
Ove previsto, si cambi comunque la password e/o l’account configurati per l’accesso remoto.

8) Suggeriamo poi di verificare che sul router si attivo il cosiddetto stateful inspection firewall (spesso indicato come SPI firewall ovvero stateful packet inspection firewall). L’abilitazione dello SPI firewall permette di rendere il router “invisibile” sulla rete Internet ed evitare l’invio di risposte alle richieste ICMP.
Si provi a visitare la home page di DNSStuff oppure questa pagina. Si dovrebbe immediatamente leggere l’indirizzo IP (statico o dinamico) assegnato dal provider Internet (vedere anche Scoprire dove si trova una persona a partire dall’indirizzo IP).
Aprendo il prompt dei comandi quindi digitando ping seguito da tale IP, si dovrebbe ottenere una serie di risposte.
Digitando lo stesso comando da una macchina remota non connessa quindi alla medesima rete locale, nel caso in cui lo SPI firewall risultasse correttamente attivato, si dovrebbe ricevere sempre una richiesta scaduta.
In questo modo, con lo SPI firewall abilitato, per un utente remoto si sarà praticamente “inesistenti” sulla rete Internet.

Lo SPI firewall è attivabile accedendo al pannello di amministrazione del router.
In ogni caso, la dizione ICMP (ping) dovrebbe essere posta unicamente su Local e non su Remote.

9) Come ultimo passo è consigliabile spegnere il router, attendere qualche secondo e riaccenderlo.
Infine, è indispensabile spegnere o comunque riavviare tutti i dispositivi che sono connessi al router, siano essi sistemi desktop/notebook o device mobili.
In caso contrario, tali dispositivi continueranno ad utilizzare i vecchi DNS “malevoli” fino al successivo reboot e di conseguenza, alla seguente richiesta degli indirizzi DNS al router via DHCP.

10) Effettuando un nuovo test a questo indirizzo, il router dovrebbe essere adesso indicato come “probabilmente non vulnerabile“.

Come nota finale, tenete presente che sui router vulnerabili per i quali non è disponibile un aggiornamento del firmware, è possibile bloccare l’accesso remoto stabilendo una connessione SSH, ad esempio, con il software PuTTY ^{[vedere anche nota 4]}.

Qualora abbiate necessità di supporto con uno specifico modello di router, chiedete pure delucidazioni servendovi del sistema per l’invio di commenti, posto in calce all’articolo.