I router Linksys (marchio di proprietà di Belkin , e prima ancora di Cisco) sono affetti da una vulnerabilità già attivamente sfruttata da ignoti cyber-criminali, una falla divenuta di pubblico dominio già la scorsa settimana per essere portatrice di un’infezione da worm nota come “The Moon”.
Più di recente sono emersi nuovi particolari sull’operazione che circonda The Moon, a cominciare dall’ exploit utile a sfruttare la vulnerabilità per l’esecuzione di codice malevolo da remoto: l’exploit trae vantaggio dall’implementazione del protocollo HNAP (Home Network Administration Protocol) per l’amministrazione delle reti locali da remoto, e riguarda in particolare i vecchi router Linksys della serie E (E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900). The Moon è un worm capace di infettare i router corrispondenti ai modelli sopraindicati modificandone le impostazioni, e a mitigare parzialmente il problema c’è il fatto che basta riavviare il dispositivo per far sparire l’infezione dalla memoria.
Linksys ammette l’esistenza del problema spiegando che il codice di The Moon è in grado di attaccare solo i router con la funzionalità Remote Management Access attivata: una funzionalità non attiva di default e senza la quale l’infezione non può diffondersi. A rendere più complicato il tutto c’è il fatto che molti dei modelli vulnerabili non sono più coperti dal supporto Linksys e quindi dall’eventuale pubblicazione di un firmware aggiornato, anche se a tal proposito la società parla dell’arrivo di una patch risolutiva – non si sa quanto estesa ai modelli più vecchi – quanto prima.
Forse meno grave ma non certo meno inquietante e la falla presente in alcuni router Asus, un problema che potrebbe consentire a ignoti malintenzionati di accedere ai dispositivi di storage esterni collegati al router tramite porta USB. Un utente ha sperimentato sulla propria pelle la potenziale pericolosità della falla individuando un file di testo generato automaticamente (e contenente un allarme sulla vulnerabilità) sul suo HDD esterno. Anche in questo caso la soluzione è disabilitare le funzionalità di gestione e accesso da remoto (“Aircloud”).
Alfonso Maruccia