Un nuova tecnica di hacking in grado di sfruttare la vulnerabilità della funzionalità UPnP (Universal Plug & Play) in combinazione ai malware NSA è diventato argomento di accesa discussione in questi ultimi giorni. Gli hacker stanno aprendo porte SMB sui router in modo che possano infettare i PC con malware NSA. Il tutto è stato inizialmente denunciato e documentato da Akamai alla fine di aprile 2018. Il tipo di attacco, inizialmente non preso in seria considerazione dal mercato si è in realtà dimostrato capace di creare potenzialmente danni ingentissimi e su larghissima scala.
Una nuova variante di UPnProxy che attacca il protocollo SMB
La vulnerabilità, ormai accertata consente di aprire le connessioni verso le reti interne in modo che i criminali possano infettare i computer precedentemente isolati. La tecnica utilizzata è nota come UPnProxy e si basa sullo sfruttamento delle vulnerabilità nei servizi UPnP installati su molti router/firewall per alterare le tabelle NAT (Network Address Translation) del dispositivo.
La tabelle di NAT di un router, come è risaputo, contiene le regole che servono a rendere comunicanti gli indirizzi IP privati con gli indirizzi IP pubblici della rete Internet.
In aprile, gli hacker utilizzavano questa tecnica per convertire i router in proxy per il traffico web regolare, ma in un report pubblicato il 28 novembre 2018, Akamai afferma di aver avvistato una nuova variante di UPnProxy molto più pericolosa e aggressiva. Questa nuova tecnica sfrutta le vulnerabilità dei servizi UPnP per inserire delle regole specifiche all’interno dei router/firewall.
Queste regole continuano a funzionare ancora come reindirizzamenti (proxy). Invece di inoltrare il traffico web su richiesta dell’hacker, consentono a un hacker esterno di connettersi alle porte SMB (139, 445) di dispositivi e computer situati dietro il router, all’interno della Rete Privata (LAN).
Secondo le stime sarebbero circa 1,7 milioni gli apparati router con servizi UPnP vulnerabili esposti online. Fra questi , più di 45.000 router sembrano essere stati attaccati con successo in soli 3 giorni.
Quali sono i rischi Reali
I ricercatori sostengono che un particolare hacker, o gruppo di hacker, abbia creato una sorta di algoritmo NAT personalizzato chiamato “galleta silenciosa” (cookie silenzioso) su questi 45.000 router. Akamai afferma di aver rilevato “milioni di iniezioni di successo” durante le quali i criminali si sono collegati attraverso queste porte a dispositivi all’interno della rete LAN.
L’attacco è potenzialmente in grado di creare danni di tutti i tipi. Attualmente sembra che lo scopo principale sia quello di creare una rete molto fitta di dispositivi vulnerabili e infettati per estrarre, all’insaputa dell’utente, criptovalute. in questa fase verrebbero sfruttati gli exploit già conosciuti come EternalBlue e Silent Cookie.
Sembra però che l’attacco sia in grado di creare situazioni molto più minacciose come l’iniezione di ransomware molto più pericolosi, in grado di compromettere e rendere inutilizzabili i dati aziendali.
Come arginare il pericolo e come garantire la piena sicurezza e libertà per l’utente.
La soluzione più ovvia al problema sembra essere quella di disabilitare completamente le funzionalità di Universal Plug & Play presenti sui router stessi. Secondo altri fonti sembra invece che questa misura non sia sufficiente e sia necessaria l’aggiornamento, quando non addirittura la sostituzione degli apparati.
Veniamo però al fatto più grave. Sembrerebbe che questa vulnerabilità colpisca moltissimi degli apparati comunemente forniti, in tutto il mondo, dai gestori di servizi telefonici e di connettività. Cosa ancora più grave è il constatare che, proprio su molti di questi apparati, l’UPnP sia attivato di default e non controllabile direttamente dall’utente.
Questa considerazione lascia molto riflettere sull’opportunità di utilizzare un apparato spesso imposto dallo stesso operatore e non direttamente controllabile o governabile dall’utente.
Una situazione, quella appena descritta, che fa molto riflettere sulla recente direttiva AGCOM che ha imposto agli operatori di concedere la libertà di libero utilizzo del router agli utenti finali a partire dal 31 dicembre 2018. Per chi non lo abbia ancora fatto consiglio di leggere qui il precedente articolo a riguardo.
Questa sarebbe l’ennesima prova che la politica di imposizione di un apparato proprietario, non governabile dall’utente, costituirebbe una seria minaccia non solo alla libera scelta dell’apparato e alla fruizione dei servizi. Il pericolo più grave risiederebbe infatti nell’impossibilità di garantire il tempestivo monitoraggio e la sicurezza degli apparati forniti.
Ho avuto più volte l’opportunità di rimarcare come la scelta di un router/Firewall da utilizzare in ambito VoIP sia fondamentale per garantire una corretta funzionalità dei servizi Voce. Questa volta però la mia preoccupazione volge altrove. La libertà degli utenti non riguarda solo il fatto di poter ottenere la piena funzionalità dei servizi internet. Qui è in gioco la sicurezza, nonché l’integrità e la conservazione stessa dei dati personali degli utenti; siano essi utenti domestici o aziendali.
L’altra raccomandazione che mi sento di fare, soprattutto all’utenza business, è quella di affidarsi a personale competente e specializzato nella gestione della sicurezza informatica anche e sopratutto nell’ambito del networking.
Sistema Telefonico 
