Il mito del riavvio del router: come proteggersi davvero dagli attacchi in corso

Diverse testate hanno riportato che FBI e NSA avrebbero consigliato un semplice riavvio del router domestico come raccomandazione ufficiale per difendersi dagli attacchi provenienti dalla Russia. In realtà non ci risulta che le due agenzie statunitensi abbiano diramato questo consiglio: come si legge nel documento dal titolo “Russian GRU Exploiting Vulnerable Routers to Steal Sensitive Information“, le esortazioni ad utenti e cittadini sono ben diverse. Ma andiamo con ordine.

L’allerta delle agenzie USA arriva sulla scorta di un repentino aumento delle campagne di compromissione che sfruttano dispositivi di rete domestici come punto di ingresso: i router “casalinghi”, spesso trascurati dopo l’installazione iniziale, rappresentano uno dei bersagli più esposti. Le agenzie di sicurezza segnalano un incremento delle attività riconducibili a gruppi statali, con tecniche sempre più mirate e persistenti.

Una volta compromesso il router, l’attaccante può intercettare traffico, manipolare richieste DNS e spostarsi all’interno della rete locale (movimento laterale). In pratica, il router diventa un punto di osservazione privilegiato, spesso poco visibile all’utente.

Perché il router è diventato un bersaglio privilegiato

In parte l’abbiamo già chiarito nell’introduzione. Un router domestico moderno gestisce NAT, firewall, DHCP e spesso funzioni avanzate come VPN e controllo parentale.

Nonostante queste capacità, molti dispositivi restano configurati con impostazioni di default. Username e password amministrative non cambiate, interfaccia di amministrazione esposta su WAN quindi accessibile da remoto, firmware mai aggiornato. Sono queste configurazioni che gli aggressori sfruttano con sempre maggior frequenza.

Secondo le analisi più recenti, gruppi come APT28 hanno sfruttato vulnerabilità note per ottenere accesso persistente alle reti altrui. FBI e NSA citano il caso concreto della  falla CVE-2023-50224, utilizzata per compromettere router TP-Link di fascia consumer e ottenere accesso remoto non autorizzato.

TP-Link ha analizzato la vulnerabilità in questione confermando la lista dei router affetti dal problema di sicurezza e confermando quelli che non saranno aggiornati perché ormai fuori dal periodo di supporto ufficiale (EoL, end-of-life).

La vulnerabilità nasce da errori nel firmware del router, in particolare un difetto di autenticazione nel servizio Web (httpd) che permette a un attaccante sulla rete di accedere a informazioni sensibili come credenziali senza autorizzazione.

Il punto è che l’interfaccia di amministrazione del router non dovrebbe mai e poi mai essere lasciata esposta sull’indirizzo IP pubblico, potenzialmente accessibile da chiunque. Chi lo fa, in maniera del tutto superficiale, si espone a rischi evidenti: già nel brevissimo periodo se il router usasse un firmware vulnerabile. Basta una scansione sugli indirizzi IP pubblici per individuare i dispositivi non aggiornati e sferrare un attacco sfruttando vulnerabilità note.

Il senso tecnico del riavvio del router

Molti attacchi contro i router consumer non modificano la memoria persistente ma operano in RAM. Ecco quindi che togliendo l’alimentazione al dispositivo di rete e riavviandolo, si interrompono tutti i processi “estranei”, eliminando payload temporanei e sessioni attive.

Va detto però che un semplice riavvio non risolve le vulnerabilità e, con certi tipi di attacchi, a seconda delle falle di sicurezza emerse, può rivelarsi inadeguato. Non tutti gli exploit agiscono esclusivamente in RAM: le modifiche, in alcuni casi, possono diventare persistenti e “sopravvivere” ai reboot del router.

Alcune testate, legando il consiglio a FBI e NSA, fanno addirittura riferimento a un precedente avviso di febbraio 2023 (!) ma anche lì il consiglio non era quello di limitarsi a un semplice riavvio del router.

Cosa fare davvero per difendersi dagli attacchi verso i router

Come abbiamo evidenziato in precedenza, gli attacchi susseguitisi in queste settimane verso i router domestici puntano a trasformare il dispositivo di rete in un punto di osservazione e intercettazione del traffico.

Nelle operazioni attribuite a gruppi come APT28, l’obiettivo è quello di modificare i parametri DHCP/DNS nella configurazione del router, imponendo resolver controllati dall’attaccante: tutti i dispositivi della rete ereditano automaticamente queste impostazioni, rendendo possibile un attacco Adversary-in-the-Middle (AitM) su larga scala.

In questo scenario, il traffico apparentemente protetto da TLS può essere degradato o intercettato, consentendo la raccolta di credenziali, token di sessione e dati sensibili senza compromettere direttamente i singoli dispositivi locali delle vittime.

Una difesa efficace richiede quindi un approccio scrupoloso:

• Aggiornare il firmware dei router alla versione più recente.
• Sostituire i dispositivi non più supportati (se già entrati nel periodo EoL, end-of-life), con una postilla di cui parliamo nel paragrafo successivo.
• Disattivare l’interfaccia di amministrazione remota del dispositivo.
• Verificare le porte eventualmente aperte in ingresso sul router e limitare gli accessi remoti solo a indirizzi IP autorizzati.
• Evitare l’esposizione di servizi inutili sull’indirizzo IP pubblico e disabilitare UPnP.

UPnP (Universal Plug and Play) permette ai dispositivi della rete interna di aprire automaticamente porte sul router senza autenticazione reale. È comodo per gaming, VoIP o app P2P, ma introduce un problema strutturale: qualsiasi dispositivo compromesso nella LAN può esporre servizi verso Internet senza che l’utente se ne accorga. In scenari come quelli descritti (router già vulnerabili o compromessi), UPnP diventa un moltiplicatore del rischio, perché facilita la persistenza dell’attaccante e l’apertura di canali di comunicazione verso infrastrutture command and control.

Nei contesti aziendali o di lavoro remoto, l’uso di VPN con validazione rigorosa dei certificati e configurazioni applicative “hardened” diventa essenziale per impedire che un’infrastruttura compromessa possa trasformarsi in un vettore persistente di sottrazione dei dati.

Router fuori supporto: il problema reale

Il nodo centrale della questione riguarda i dispositivi end-of-life. Molti router smettono di ricevere aggiornamenti dopo pochi anni: da quel momento, ogni vulnerabilità scoperta resta aperta e potenzialmente sfruttabile dai malintenzionati. In ambito consumer, non si contano i modelli che continuano a essere utilizzati per anni senza alcuna nuova patch di sicurezza.

In alcuni casi, è possibile riportare un router ancora funzionante a nuova vita installando un firmware open source come OpenWrt, DD-WRT o FreshTomato, che offrono aggiornamenti di sicurezza continui, maggiore trasparenza sul funzionamento interno e funzionalità avanzate rispetto ai firmware proprietari abbandonati dai produttori.

Queste soluzioni permettono, ad esempio, di configurare manualmente resolver DNS sicuri (come DNS-over-HTTPS o DNS-over-TLS), disabilitare completamente servizi esposti inutilmente (UPnP, gestione remota via Web), implementare firewall più granulari, VLAN per segmentare la rete e persino VPN integrate (WireGuard/OpenVPN) per proteggere il traffico in uscita.

Inoltre, a differenza di tanti firmware originali, consentono un monitoraggio più preciso delle connessioni attive, rendendo più facile individuare comportamenti anomali o tentativi di esfiltrazione dati.