La vicenda VPNFilter "s'ingrossa". Due settimane fa i ricercatori del Cisco Talos Intelligence Group segnalarono la presenza di un nuovo malware chiamato VPNFilter che aveva già compromesso oltre 500.000 router di varie marche in almeno 54 Paesi.

A fronte di un'ulteriore analisi il malware si è però dimostrato più potente di quanto si pensava in origine e, stando sempre a Cisco, ha colpito un maggior numero di modelli di produttori diversi. Si parla di ulteriori 200.000 mila unità, per un totale di oltre 700.000. Di seguito i prodotti coinvolti, con le nuove aggiunte segnalate da un asterisco:

Produttore	Dispositivo o serie
ASUS	RT-AC66U*; RT-N10 series*, RT-N56 series*
D-Link	DES-1210-08P*; DIR-300 Series*; DSR-250, 500 e 1000 series*
Huawei	HG8245*
Linksys	E1200; E1500; E3000*; E3200*; E4200*; RV082*; WRVS4400N
Microtik	CCR1009*; CCR1x series; CRS series*; RB series*; STX5*
Netgear	DG834*; DGN series*; FVS318N*; MBRN3000*; R-series; WNR series*; WND series*; UTM50*
QNAP	TS251; TS439 Pro; altri prodotti con software QTS
TP-Link	R600VPN; TL-WR series*
Ubiquiti	NSM2*; PBE M5*
UPVEL	Dispositivi ignoti
ZTE	ZXHN H108N*

Tra le nuove capacità identificate di VPNFilter c'è un nuovo modulo che svolge un attacco attivo man-in-the-middle sul traffico web in ingresso. I malintenzionati possono usare questo modulo "ssler" per iniettare un payload nel traffico mentre questo passa da un router infettato. I payload possono essere personalizzati per sfruttare specifici dispositivi connessi alla rete infettata. Il modulo "ssler" può anche essere usato per modificare in modo subdolo il contenuto dei siti.

Oltre a manipolare segretamente il traffico recapitato agli endpoint all'interno di una rete infetta, ssler è stato progettato per rubare dati sensibili che passano tra gli endpoint connessi e Internet. Il modulo ispeziona attivamente gli URL web alla ricerca di segnali legati alla trasmissione di password e altri dati sensibili in modo da copiarli e inviarli ai server che i malintenzionati continuano a controllare anche ora, a due settimane da quando la botnet è stata resa pubblica.

Per oltrepassare la cifratura TLS che è stata pensata per impedire questi attacchi, il modulo ssler prova attivamente a fare il downgrade delle connessioni HTTPS a traffico HTTP in chiaro. Cambia poi gli header richiesti per segnalare che l'endpoint non è in grado di usare connessioni cifrate. Ssler fa anche degli speciali cambiamenti per il traffico verso Google, Facebook, Twitter e Youtube.

Nel primo report Cisco credeva che l'obiettivo primario di VPNFilter fosse quello di usare i router per casa e ufficio, switch e NAS come piattaforma per lanciare attacchi verso obiettivi primari. La scoperta del modulo ssler suggerisce invece che anche i proprietari dei router erano un obiettivo di VPNFilter.

"Possono modificare il saldo del tuo conto bancario in modo che sembri normale mentre allo stesso tempo stanno sottraendo denaro e potenzialmente chiavi PGP e cose del genere. Possono manipolare tutto ciò che entra ed esce dal dispositivo", ha spiegato Arsos Craig Williams, senior technology leader e global outreach manager di Talos.

Malgrado l'intervento dell'FBI, che sembrava risolutivo, secondo Cisco la botnet è ancora attiva, seppur meno potente che in passato. Non c'è un modo semplice per sapere se si è stati infettati, quindi il consiglio è quello di resettare il router. I passaggi per farlo variano da modello a modello.

In alcuni casi basta schiacciare il tasto "incassato" nel retro del dispositivo, in altri è necessario riavviare il router e poi installare l'ultimo firmware autorizzato disponibile, che si può scaricare dal sito del produttore e installare mediante il pannello di controllo. Il consiglio è comunque sempre quello di cambiare le password di default del router e qualora possibile disabilitare l'amministrazione da remoto. Un'altra misura di sicurezza è quella di far girare il router sempre dietro un firewall.

AGGIORNAMENTO

Aggiungiamo le dichiarazioni ufficiali di TP-Link sulla vicenda:

"TP-Link, da sempre attiva nel garantire il più alto livello di sicurezza, per quanto concerne la vulnerabilità VPNFilter recentemente portata alla luce da diversi operatori di settore, comunica di non aver rilevato alcun rischio inerente i propri prodotti. Per assicurare il massimo livello di protezione, come da best-practice, l’azienda suggerisce di verificare periodicamente la disponibilità di aggiornamenti software e firmware al link https://www.tp-link.com/download-center.html

TP-Link consiglia, inoltre, di modificare le credenziali predefinite per l’accesso alle interfacce di configurazione dei prodotti come descritto alla pagina https://www.tp-link.com/faq-73.html

TP-Link è costantemente al lavoro nel monitorare qualsiasi vulnerabilità, pertanto, aggiornamenti informativi e firmware/software saranno rilasciati in caso di necessità. Per qualsiasi ulteriore informazione, il Supporto Tecnico TP-Link rimane naturalmente a disposizione al link https://www.tp-link.com/it/support-contact.html".