Alfonso Maruccia

Linksys e Asus alle prese con router vulnerabili

Il marchio Belkin alle prese con un worm attivamente sfruttato. In lavorazione una patch, ma non ci sono dettagli sui tempi di lavorazione. Per mitigare i rischi meglio disabilitare le funzioni non utilizzate

Roma - I router Linksys (marchio di proprietà di Belkin, e prima ancora di Cisco) sono affetti da una vulnerabilità già attivamente sfruttata da ignoti cyber-criminali, una falla divenuta di pubblico dominio già la scorsa settimana per essere portatrice di un'infezione da worm nota come "The Moon".

Più di recente sono emersi nuovi particolari sull'operazione che circonda The Moon, a cominciare dall'exploit utile a sfruttare la vulnerabilità per l'esecuzione di codice malevolo da remoto: l'exploit trae vantaggio dall'implementazione del protocollo HNAP (Home Network Administration Protocol) per l'amministrazione delle reti locali da remoto, e riguarda in particolare i vecchi router Linksys della serie E (E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900). The Moon è un worm capace di infettare i router corrispondenti ai modelli sopraindicati modificandone le impostazioni, e a mitigare parzialmente il problema c'è il fatto che basta riavviare il dispositivo per far sparire l'infezione dalla memoria.

Linksys ammette l'esistenza del problema spiegando che il codice di The Moon è in grado di attaccare solo i router con la funzionalità Remote Management Access attivata: una funzionalità non attiva di default e senza la quale l'infezione non può diffondersi. A rendere più complicato il tutto c'è il fatto che molti dei modelli vulnerabili non sono più coperti dal supporto Linksys e quindi dall'eventuale pubblicazione di un firmware aggiornato, anche se a tal proposito la società parla dell'arrivo di una patch risolutiva - non si sa quanto estesa ai modelli più vecchi - quanto prima.
Forse meno grave ma non certo meno inquietante e la falla presente in alcuni router Asus, un problema che potrebbe consentire a ignoti malintenzionati di accedere ai dispositivi di storage esterni collegati al router tramite porta USB. Un utente ha sperimentato sulla propria pelle la potenziale pericolosità della falla individuando un file di testo generato automaticamente (e contenente un allarme sulla vulnerabilità) sul suo HDD esterno. Anche in questo caso la soluzione è disabilitare le funzionalità di gestione e accesso da remoto ("Aircloud").

Alfonso Maruccia
Notizie collegate
19 Commenti alla Notizia Linksys e Asus alle prese con router vulnerabili
Ordina
  • prima di tutto direi il banale "niente di nuovo sotto il sole".

    Il post del SANS mi era sfuggito... ma tanto non passa mese (o quasi) che in un router,ap,ip cam non venga trovata una backdoor ("e' un accesso per manutenzione") o dei cgi scritti coi piedi.
    Se poi ci aggiungiamo la pervicace mania di inserire interfacce "per casalinghe" ( upnp, hnap, WPS negli AP ,ecc), il gioco e' completo.

    Ah, no manca il fatto che il framework/sdk (che si scoprira' contenere il fattaccio) e' ballonzolato tra acquisizioni di sw house, odm e subcontractor vari. Aka Cisco magari si trova nei router nuovi del sw scritto da indiani 5 anni prima (non conosco il caso in questione... me ne vengono in mente altri... tipo quello dlink/alphanetwork & co. o del firmware zyxel..)

    Nel caso di specie (parlo dei cisco), noto che il macaco ha detto la sua.
    Nei router si c'e' linux/mips (sono i "soliti" broadcom), ma la roba patocca e', come usuale, nella web-gui. Aka c'entra con linux come c'entra M$ con i bug di acrobat reader/w32.

    C'e' da aggiungere anche un altra faccenda... storicamente (non ho guardato il caso specifico), anche per questioni di risorse (ram, flash) oltre che pigrizia, sta roba gira tutta come root ("tanto chi ci entra qui?" e poi "tanto e' raggiungibile solo dalla lan" e "c'e' la pw")... e non di rado con ambienti un po' (o molto) datati... merito del framework chiavinmano e dei passaggi 'di riciclo' che dicevo sopra... e (sopratutto) della -direi- pervicace idea di riprogrammare+adattare la gui ogni volta, basandosi su quei (sw BSD + i cgi che faccio scrivere al volo) che mi consentano di tirare fuori un bel blob binario, nonostante il resto sia gpl.
    Cosi', anche quando pubblicano i sorci, solo i reverser diventano subito edotti degli exploit...Sorride

    Diciamo che ormai mettere 16m di flash,32-64m di ram e una cpu da > 3mips non dovrebbe essere cosi' oltraggioso per i vendorSorride... quindi potrebbero anche curare meglio la parte interna di security (usando la classica roba unix/linux anche se gli occupa un pelo di piu') e SOPRATUTTO dedicare qualche gg in piu' alla webgui (c'entra relativamente con la ram, ma parecchio col riciclo e la forma mentis)
    non+autenticato
  • - Scritto da: bubba
    > Nei router si c'e' linux/mips (sono i "soliti"
    > broadcom), ma la roba patocca e', come usuale,
    > nella web-gui. Aka c'entra con linux come c'entra
    > M$ con i bug di acrobat
    > reader/w32.

    Esatto, ma se capita su Windows la colpa è SEMPRE del sistema operativoOcchiolino

    > C'e' da aggiungere anche un altra faccenda...
    > storicamente (non ho guardato il caso specifico),
    > anche per questioni di risorse (ram, flash) oltre
    > che pigrizia, sta roba gira tutta come root
    > ("tanto chi ci entra qui?"

    Spiegalo alle panda scassate che girano da ste partiA bocca aperta
    non+autenticato
  • - Scritto da: 2014
    > - Scritto da: bubba

    > Esatto, ma se capita su Windows la colpa è SEMPRE
    > del sistema operativo
    >Occhiolino

    In effetti, basta leggere un po' di bollettini di sicurezza e la differenza appare piuttosto evidente...
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: 2014
    > > - Scritto da: bubba
    >
    > > Esatto, ma se capita su Windows la colpa è
    > SEMPRE
    > > del sistema operativo
    > >Occhiolino
    >
    > In effetti, basta leggere un po' di bollettini di
    > sicurezza e la differenza appare piuttosto
    > evidente...
    1% di quota di mercato uguale 1% di virus, facileA bocca aperta
    non+autenticato
  • - Scritto da: 2014
    > - Scritto da: krane
    > > - Scritto da: 2014
    > > > - Scritto da: bubba
    > >
    > > > Esatto, ma se capita su Windows la
    > colpa
    > è
    > > SEMPRE
    > > > del sistema operativo
    > > >Occhiolino
    > >
    > > In effetti, basta leggere un po' di
    > bollettini
    > di
    > > sicurezza e la differenza appare piuttosto
    > > evidente...
    > 1% di quota di mercato uguale 1% di virus, facile
    >A bocca aperta

    Caz, non avevo letto il nick, altrimenti non avrei risposto.
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: 2014
    > > - Scritto da: krane
    > > > - Scritto da: 2014
    > > > > - Scritto da: bubba
    > > >
    > > > > Esatto, ma se capita su Windows la
    > > colpa
    > > è
    > > > SEMPRE
    > > > > del sistema operativo
    > > > >Occhiolino
    > > >
    > > > In effetti, basta leggere un po' di
    > > bollettini
    > > di
    > > > sicurezza e la differenza appare
    > piuttosto
    > > > evidente...
    > > 1% di quota di mercato uguale 1% di virus,
    > facile
    > >A bocca aperta
    >
    > Caz, non avevo letto il nick, altrimenti non
    > avrei
    > risposto.
    La verità ti fa male lo saiA bocca aperta
    non+autenticato
  • - Scritto da: 2014
    > - Scritto da: bubba
    > > Nei router si c'e' linux/mips (sono i
    > "soliti"
    > > broadcom), ma la roba patocca e', come
    > usuale,
    > > nella web-gui. Aka c'entra con linux come
    > c'entra
    > > M$ con i bug di acrobat
    > > reader/w32.
    >
    > Esatto, ma se capita su Windows la colpa è SEMPRE
    > del sistema operativo
    >Occhiolino
    xche tu leggi solo i post trolleschi.
    E poi M$ ha talmente tante colpe di suo, che non fa molta differenza

    > > C'e' da aggiungere anche un altra faccenda...
    > > storicamente (non ho guardato il caso
    > specifico),
    > > anche per questioni di risorse (ram, flash)
    > oltre
    > > che pigrizia, sta roba gira tutta come root
    > > ("tanto chi ci entra qui?"
    >
    > Spiegalo alle panda scassate che girano da ste
    > parti
    >A bocca aperta
    gli spiego che broadcom andrebbe spesso presa a calci e che sarebbe meglio non subappaltare a teenager indiani il coding dei cgi?
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: 2014
    > > - Scritto da: bubba
    > > > Nei router si c'e' linux/mips (sono i
    > > "soliti"
    > > > broadcom), ma la roba patocca e', come
    > > usuale,
    > > > nella web-gui. Aka c'entra con linux come
    > > c'entra
    > > > M$ con i bug di acrobat
    > > > reader/w32.
    > >
    > > Esatto, ma se capita su Windows la colpa è
    > SEMPRE
    > > del sistema operativo
    > >Occhiolino
    > xche tu leggi solo i post trolleschi.
    > E poi M$ ha talmente tante colpe di suo, che non
    > fa molta
    > differenza
    >
    > > > C'e' da aggiungere anche un altra
    > faccenda...
    > > > storicamente (non ho guardato il caso
    > > specifico),
    > > > anche per questioni di risorse (ram, flash)
    > > oltre
    > > > che pigrizia, sta roba gira tutta come root
    > > > ("tanto chi ci entra qui?"
    > >
    > > Spiegalo alle panda scassate che girano da ste
    > > parti
    > >A bocca aperta
    > gli spiego che broadcom andrebbe spesso presa a
    > calci e che sarebbe meglio non subappaltare a
    > teenager indiani il coding dei
    > cgi?
    fossero solo le cgi...
    ci sono un sacco di reti dove ti basta un "snmpwalk" per ottenere "dettagli illuminanti" SNMP male usato (come se fossi su una intranet) e lasciato aperto a cani e porci ha fatto più danni della pernospora!
    non+autenticato
  • - Scritto da: tucumcari
    > - Scritto da: bubba
    > > - Scritto da: 2014

    > a
    > > calci e che sarebbe meglio non subappaltare a
    > > teenager indiani il coding dei
    > > cgi?
    > fossero solo le cgi...
    > ci sono un sacco di reti dove ti basta un
    > "snmpwalk" per ottenere "dettagli illuminanti"
    > SNMP male usato (come se fossi su una intranet) e
    > lasciato aperto a cani e porci ha fatto più danni
    > della
    > pernospora!
    con la differenza che nei home router l'snmp e' quasi li' per sbaglio... aka e' in listening ma non restituisce niente xche non configurato, o lo e' ma ha solo il read abilitato (anche perche il write non produrrebbe niente. aka fai discovery -grave- ma non cambi la cfg). Ovviamente ci son anche posti dove e' al 100% operante. Ma in tutti i casi e' un servizio noto e tipicamente disabilitabile. ( In quel senso mi preoccupano parecchio di piu' i servizi 'intelligenti' come upnp & famiglia. )

    Un cgi cagoso dove fai path trasversal o bufferoverflow invece "non e' previsto" e non lo puoi manco spegnere, a meno di fermare la webgui (tragico per molti)
    non+autenticato
  • Windows embedded, vero?
    non+autenticato
  • Be' sono estensioni proprietarie ...
    non+autenticato
  • - Scritto da: Lorenzo
    > Be' sono estensioni proprietarie ...

    Ennesima dimostrazione della superiorità dell'open source e del fatto che il paradigma "security through obscurity" non funziona.
  • guarda che non c'è linux lì dentro, è roba con os proprietario

    e comunque la vulnerabilità è contenuta negli script tmUnblock.cgi e hndUnblock.cgi, entrambi parte del software di gestione remota dei router, quindi il sistema operativo non c'entra nulla in tutto ciò
    non+autenticato
  • - Scritto da: collione
    > guarda che non c'è linux lì dentro, è roba con os
    > proprietario

    Quindi il vostro solito paradigma su Linux che é ovunque é l'ennesima balla.
    non+autenticato
  • - Scritto da: aphex_twin
    > - Scritto da: collione
    > > guarda che non c'è linux lì dentro, è roba
    > con
    > os
    > > proprietario
    >
    > Quindi il vostro solito paradigma su Linux che é
    > ovunque é l'ennesima
    > balla.
    Se non c'è è facile mettercelo www.openwrt.org e vivere tranquilli alla faccia dei worm proprietari
    A bocca aperta
    Oppure uno può sempre "fidarsi" i nomi di chi ha fatto accordi con NSA si sanno no?
    Rotola dal ridereRotola dal ridere
    non+autenticato
  • - Scritto da: tucumcari
    > > Quindi il vostro solito paradigma su Linux che é
    > > ovunque é l'ennesima
    > > balla.
    > Se non c'è è facile mettercelo www.openwrt.org e
    > vivere tranquilli alla faccia dei worm
    > proprietari
    > A bocca aperta

    Si certo , ma il punto era un'altro.
    non+autenticato
  • - Scritto da: aphex_twin
    > - Scritto da: collione
    > > guarda che non c'è linux lì dentro, è roba
    > con
    > os
    > > proprietario
    >
    > Quindi il vostro solito paradigma su Linux che é
    > ovunque é l'ennesima
    > balla.

    vedo che non solo non hai ben chiaro il significato delle grandezze elettriche, ma nemmeno la distinzione tra kernel e sistema operativo

    comunque, Cisco usa vari kernel ( tra cui linux ), infatti l'E2100L ( si trova in quella lista ) è un router linux-based ( ma è l'unico di quella lista )

    ciò non toglie che qui si tratta di vulnerabilità degli script di amministrazione, niente a che fare col kernel, da cui concludo che la tua è l'ennesima trollata macacara
    non+autenticato
  • p.s. prima che ti lanci nell'ennesima guerra dei macachi, ti faccio notare che ho nominato Cisco perchè molti dei router nella lista sono dei tempi di Cisco e non di Belkin
    non+autenticato
  • - Scritto da: collione
    > - Scritto da: aphex_twin
    > > - Scritto da: collione
    > > > guarda che non c'è linux lì dentro, è
    > roba
    > > con
    > > os
    > > > proprietario
    > >
    > > Quindi il vostro solito paradigma su Linux
    > che
    > é
    > > ovunque é l'ennesima
    > > balla.
    >
    > vedo che non solo non hai ben chiaro il
    > significato delle grandezze elettriche, ma
    > nemmeno la distinzione tra kernel e sistema
    > operativo
    >
    > comunque, Cisco usa vari kernel ( tra cui linux
    > ), infatti l'E2100L ( si trova in quella lista )
    > è un router linux-based ( ma è l'unico di quella
    > lista
    > )
    mhhh lungi dar ragione al macaco (per le ragioni che dici sotto & co), ma non e' mica tanto vero quel che dici.... http://support.linksys.com/en-us/gplcodecenter

    >
    > ciò non toglie che qui si tratta di vulnerabilità
    > degli script di amministrazione, niente a che
    > fare col kernel, da cui concludo che la tua è
    > l'ennesima trollata
    > macacara
    non+autenticato