Nella comunità degli esperti di sicurezza il livello di allerta è sul rosso. Due bug hunter polacchi, Adrian Pastor e il dinamico Petko Petkov, hanno infatti scoperto come sfruttare due diffusissime tecnologie di rete, il protocollo UPnP (Universal Plug and Play) e Adobe Flash, per prendere il controllo di un router remoto e compromettere la sicurezza dei computer ad esso collegati. Ad essere vulnerabili sono soprattutto i router domestici , dove generalmente le impostazioni di sicurezza predefinite sono meno restrittive.
In passato Petkov aveva già dimostrato come fosse possibile riconfigurare un router da remoto utilizzando l’UPnP e un attacco di tipo cross-site scripting (XSS), che presuppone l’inoculazione di codice JavaScript nel codice sorgente della pagina web visitata dall’utente. Ora Petkov e Pastor hanno scoperto che un cracker potrebbe fare la stessa cosa anche senza scomodare XSS : è sufficiente indurre un utente ad aprire un file Flash (SWF) maligno, tipicamente inglobato in una pagina Web, capace di sfruttare alcune caratteristiche – dunque non bug – di UPnP.
L’attacco, descritto in questo advisory apparso sul blog Gnucitizen.org di Petkov, può consentire ad un aggressore di cambiare le impostazioni di un router remoto , incluse quelle relative a port forwarding, DNS, autenticazione, PPP, WiFi ecc. Il tutto senza disporre di un account di accesso e senza che l’utente si accorga di nulla.
“La cosa più temibile, per la vittima, è che l’aggressore utilizzi questo attacco per cambiare il server DNS primario del router, così da dirottare tutte le connessioni dell’utente su di un server a suo piacimento”, ha spiegato Petkov. “Questo trasforma di fatto il router e la rete sotto il suo controllo in uno zombie che l’aggressore può sfruttare quando e come vuole, bypassando per altro i filtri anti-phishing del browser”.
Il ricercatore polacco sostiene che la minaccia interessa praticamente tutti i router domestici in circolazione : su questi dispositivi l’UPnP non solo è supportato, ma anche attivato di default . Questo protocollo è del resto molto utilizzato in ambito consumer, perché semplifica enormemente la configurazione delle applicazioni sul router, automatizzando l’apertura e la chiusura delle necessarie porte di comunicazione.
Petkov fa anche notare che l’attacco funziona con qualsiasi sistema operativo e browser web che supporti Flash , e potrebbe essere diretto anche contro altri dispositivi che supportino UPnP, come stampanti, telecamere digitali, set-top box ecc. Inoltre, dal momento che l’exploit sfrutta alcune “legittime” funzionalità di UPnP e Flash, l’esperto afferma che “per Adobe e i produttori di router potrebbe non essere facile scovare e correggere il problema”.
Per il momento il metodo più efficace per proteggersi dalla minaccia è quello di disattivare l’UPnP del proprio router , configurando eventualmente l’accesso alla rete in modo manuale.
Ulteriori informazioni sul problema di sicurezza si trovano in questa FAQ redatta da Petkov.
Ti potrebbe interessare
17 gen 2008