Vulnerabilità in numerosi router GPON residenziali: le cose non stanno proprio così

In queste ore numerose testate e addirittura il CERT Nazionale italiano hanno riferito della scoperta di “due vulnerabilità considerate critiche in numerosi router residenziali GPON. Se sfruttate in combinazione con successo, queste vulnerabilità possono consentire ad un attaccante remoto di aggirare l’autenticazione del router ed eseguire comandi arbitrari, con conseguente totale compromissione del dispositivo“.

Cos’è GPON

Innanzi tutto, che cos’è GPON?
Acronimo di Gigabit Passive Optical Network, la tecnologia GPON è utilizzata nelle reti in fibra ottica.
Una rete passiva ottica PON è una rete di accesso caratterizzata dall’assenza di apparati attivi eccezion fatta per le terminazioni come quelle dislocate nelle centrali. L’utente accede ai servizi offerti dalla rete tramite la terminazione di rete ottica a sua volta collegata in configurazione punto-multipunto.
GPON offre una banda di classe Gigabit sia in downstream che in upstream per merito dell’estrema efficienza del livello fisico e del protocollo di incapsulamento adottato. Open Fiber, per esempio, ha deciso di seguire tutte le evoluzioni delle tecnologie GPON per la fornitura di connessioni in fibra FTTH: Rete in fibra ottica Open Fiber sempre più estesa grazie all’accordo con Retelit. Novità anche per gli utenti.

Quali router residenziali GPON sono vulnerabili?

Da una prima lettura del report diffuso da VPNmentor sembrava che tutti i router GPON utilizzati dagli utenti residenziali fossero vulnerabili ad attacchi esterni. Tanto che alcuni utenti italiani, abbonati a servizi in fibra, hanno cominciato a chiedere se il loro modem router fosse vulnerabile. In realtà, la questione non sta affatto in questi termini.

Quelle segnalate da VPNmentor sono semplicemente due (gravi) vulnerabilità scoperte in alcuni modelli di modem router prodotti da Dasan.
Dasan è un produttore sudcoreano che progetta e realizzate, tra gli altri dispositivi, anche modem router fibra.

Tutti hanno riportato la notizia della possibilità di attaccare un milione di router fibra senza però accorgersi che con l’appellativo GPON Home Gateway non si faceva indiscriminatamente riferimento all’intera popolazione di modem router fibra ma alla stringa restituita dai dispositivi Dasan vulnerabili.

Per verificarlo basta utilizzare il tool online Shodan di cui abbiamo parlato nell’articolo Shodan, cos’è e come permette di scovare webcam, router, NAS e altri dispositivi remoti.

Cercando, previo login, title:"GPON Home Gateway" ci si accorgerà che sono effettivamente un milione circa i router attaccabili a livello mondiale ma che tutti espongono in rete (sulla porta 80 o 443) lo stesso pannello di amministrazione che contraddistingue appunto i prodotti Dasan.
In Italia, peraltro, sono ad oggi appena 48 i router Dasan esposti in rete (è facile scoprirlo usando la sintassi title:"GPON Home Gateway" country:"IT").

Tanto rumore per nulla? Certamente sì.
Le modalità utilizzate per attaccare i modem router Dasan vulnerabili sono certamente interessanti e dimostrano ancora una volta quanto sia importante aggiornare tempestivamente il firmware. Sui dispositivi vulnerabili si possono addirittura eseguire da remoto comandi estremamente pericolosi semplicemente inviato richieste GET al pannello di amministrazione.

Il problema, però, ha ancora a che fare con la scarsa attenzione riposta sulla configurazione della rete e del dispositivo da parte dei possessori di modem router: perché esporre la pagina di login di un dispositivo di rete accettando le connessioni in ingresso provenienti da tutto il mondo?
Il pannello di amministrazione di un modem router o di qualunque altro dispositivo di rete non dovrebbe mai essere pubblicamente accessibile (al limite dovrebbe essere raggiungibile da remoto solo attraverso una VPN…). Il fatto che l’accesso sia protetto con username e password non dovrebbe mai indurre gli utenti ad esporlo pubblicamente in rete.
Vulnerabilità all’interno del firmware, come quelle scoperte nei modem router Dasan o in altri prodotti, possono rendere inefficace tale misura di protezione. Molto meglio quindi non esporre mai nulla pubblicamente e agire sempre con la massima cautela: Come rendere la rete sicura sia in azienda che a casa.

Trovare i dispositivi di rete che espongono una o più porte in rete è semplicissimo: basta un port scanner (Port scanner: scansione di tutte le porte sull’IP pubblico) e Shodan può essere pensato come una sorta di “enciclopedia” dei risultati ottenuti su scala planetaria a fronte di operazioni di port scanning.

Non c’è quindi alcun problema generalizzato che riguardi tutti i router residenziali GPON e non ci sono rischi per coloro che non espongono porte sull’IP pubblico (attenzione anche a UPnP: UPnP, a cosa serve e perché va disattivato immediatamente).

Aggiornamento: per la cronaca, vpnMentor ci ha contattati informandoci di aver pubblicato una patch non ufficiale per i router Dasan affetti dal problema (è disponibile a questo indirizzo).