VPNFilter Attacchi MalwareIn questo ultimo periodo è emersa una nuova ondata di attacchi alla sicurezza informatica e sta coinvolgendo gli apparati Router. Scoperto dagli analisti di Cisco Talos, gli attacchi Malware possono prendere il controllo del Vostro Router generando non pochi problemi. Il Router è a tutti gli effetti un mini PC e come tale è soggetto a manutenzione e deve essere tenuto aggiornato.

Questo Virus, chiamato VPN Filter ha la capacità di registrare i dati di navigazione su internet eseguiti tramite il vostro PC, Smartphone e altre periferiche collegate sulla vostra rete, modificare i DNS e mettere a rischio i dati sensibili, comprese le password.

Non è sufficiente un riavvio del Router per scongiurare l’attacco ma è necessario verificare che non siano cambiate le configurazioni dell’apparato. Sono molti infatti i Brand di produttori che hanno subito questo attacco e che stanno segnalando la tassativa necessità di andare ad aggiornare il firmware del proprio hardware per evitare questo tipo di attacchi.

Questo tipo di virus è anche in grado di disattivare completamente la funzionalità del Router creando disservizi e criticità bloccanti ai propri sistemi informatici e di telecomunicazioni su IP. In alcuni casi non è più possibile riutilizzare l’hardware.

Una delle situazioni più comuni è il cambio dei DNS. Il cambio dei DNS permette infatti di controllare e reindirizzare il traffico dati a piacimento verso portali web altrettanto infetti o fraudolenti. A rischio password e credenziali di accesso alla posta elettronica, alle piattaforme di Home Banking, Social , ecc. Per applicazioni professionali, di solito, i DNS sono inseriti manualmente utilizzando DNS comuni (es. DNS di Google 8.8.8.8- 8.8.4.4 ) o specifici forniti dal proprio ISP. Questi vengono sostituiti con altri DNS che reindirizzano il traffico su altri siti fraudolenti.

Un altro tipo di attacco è quello CSRF  (cross-site request forgery). Questo tipo di attacco viene operato tramite plugin in JavaScript caricati su portali infetti e permette di accedere all’interfaccia web di amministrazione del Router per cambiare le impostazioni e gli accessi, sfruttandoli in un secondo momento. Questi virus non vengono necessariamente installati aprendo allegati infetti ma possono essere eseguiti come “download drive-by” da siti infetti.

Consigli utili

Verificare i DNS configurati nel router, che non siano variati rispetto a quelli configurati in fase di prima installazione. Uno dei  DNS segnalati che viene sostituito è il seguente  38.134.121.95 classificato come Hacking, SQL Injection.

Aggiornare il FW del Router all’ultima release rilasciata dal produttore che colmerà le lacune di sicurezza riscontrate.

Disabilitare l’accesso remoto se non strettamente necessario, attaccabile tramite bot.

Password di accesso complessa: Cambiare la password di accesso al Router con una psw complessa che contenga caratteri speciali, numeri e lettere maiuscole e minuscole.

Note:

Attacchi al Router possono compromettere oltre che la sicurezza anche la corretta funzionalità dei sistemi informatici e di telecomunicazioni connessi nella rete LAN. Per esempio si potrebbero verificare dei malfunzionamenti del proprio IPPBX per effettuare aggiornamenti automatici, accedere alla console di gestione, allineare i certificati e chiavi di licenza, perdita di registrazione dei telefoni software, perdita della registrazione dei trunk SIP, furto delle credenziali e altro.

Mantenere monitorati e aggiornati i vari apparti hardware (Router, Server, Appliance, AP, Telefoni IP) e software (S.O. Antivirus, Centralino Telefonico 3CX) alle ultime release di FW e di versione permette di avere una minor vulnerabilità agli attacchi esterni e il generarsi di criticità a volte irrimediabili.

E’ evidente come fra gli apparati più esposti vi siano i router commerciali non destinati ad impiego in ambito professionale. Per questa ragione, anche in ottemperanza a quanto richiesto dalla recente normativa GDPR sulla privacy e sicurezza dei dati aziendali, si raccomanda agli utenti professionali l’impiego di apparecchiature in grado di assicurare una idonea protezione, per le quali siano previsti aggiornamenti e supporto software/firmware di lungo periodo.