Misfortune cookie: pericolo per 12 milioni di router

Durante la scorsa estate è esploso il problema dei server DNS che sembravano modificarsi da soli sul router. Migliaia di utenti, anche in Italia, hanno segnalato la comparsa di messaggi riferibili all’azione di criminali informatici durante la visita dei più famosi siti web. Dal momento che il problema di solito si presentava ugualmente su tutti i dispositivi collegati in rete locale allo stesso router ed indipendentemente dal browser adoperato, è stato facile ipotizzare una modifica dei DNS impostati sul router e comunicati via DHCP ai client: DNS modificati sul router e redirect verso pagine malevole: come risolvere.

L’attacco, su vastissima scala, è stato possibile a causa della presenza di alcune vulnerabilità nel firmware installato su numerosi modelli di router, prodotti ed immessi sul mercato da diversi produttori.

Misfortune Cookie: un nuovo problema affligge più di 12 milioni di router in tutto il mondo

In queste ore, però, è CheckPoint a mettere in guarda circa la scoperta di una nuova pericolosa vulnerabilità che affliggerebbe, secondo le stime, più di 12 milioni di router.

I tecnici di CheckPoint hanno battezzato la minaccia appena palesatasi all’orizzonte con l’appellativo di Misfortune Cookie ovvero “biscotto della sfortuna“.

Anche in questo caso il problema nasce da una grave vulnerabilità presente in oltre 200 modelli di router utilizzati da utenti privati così come da professionisti, studi professionali e PMI. Nello specifico, si tratta di una lacuna individuata nel server web RomPager di AllegroSoft, utilizzato per sovrintendere la visualizzazione da browser dell’interfaccia di amministrazione di una vastissima schiera di router.

CheckPoint ha verificato che la falla di sicurezza è stata risolta addirittura nel 2005 dagli sviluppatori di AllegroSoft ma gran parte dei produttori di router continua ad integrarne, sui rispettivi prodotti, una versione fallata.

Come avviene l’attacco

Per cadere vittima dell’attacco è sufficiente utilizzare uno dei router affetti dal problema e mantenerlo collegato alla rete Internet. Secondo CheckPoint, sferrare l’aggressione è semplicissimo: basta inviare, verso l’IP pubblico utilizzato dal router, uno speciale pacchetto dati HTTP. La presenza di una lacuna nella gestione dei cookie amministrativi, usati per l’accesso al pannello di controllo web sui router interessati, consente di inviare una richiesta che – “agli occhi” del router – possa apparire come legittima. Avendo così la possibilità di accedere al pannello di amministrazione del router, da remoto, l’aggressore può modificare liberamente la configurazione del dispositivo causando eventualmente anche una serie di malfunzionamenti alle periferiche client connesse in LAN.

Quali sono i router affetti dal problema?

I modelli di router affetti dalla pericolosa vulnerabilità sono più di 200: i tecnici di CheckPoint ne hanno pubblicato l’elenco a questo indirizzo.

Il nostro consiglio è, ovviamente, quello di verificare se nell’elenco vi fosse il router utilizzato e di controllare la disponibilità di una versione del firmware aggiornata.

Ove possibile, gli utenti più esperti possono valutare la sostituzione del firmware del produttore con un software come DD-WRT o Tomato.

In alternativa, si può configurare il router affetto dal problema in modalità bridge ed usare un modem esente da qualsiasi vulnerabilità per negoziare la connessione alla rete Internet.