Team Cymru, una realtà statunitnense specializzata in sicurezza informatica, ha scoperto una massiccia compromissione che coinvolge circa 300 mila router di fascia SOHO (Small Office/Home Office): gli attaccanti, per ora anonimi, hanno potuto alterare le configurazioni DNS di questi dispositivi in maniera tale da poter dirottare il traffico web delle vittime. Gli indirizzi DNS incriminati sono 5.45.75.11 e 5.45.75.36.
Non v'è evidenza, per ora, di campagne di spoofing ma il team sta ancora indagando sulla vicenda. "Quello che abbiamo visto fino ad ora è abbastanza misterioso. 300 mila macchine sono state direzionate verso differenti server DNS" ha commentato Steve Santorelli, ricercatore per Cymru. L'aspetto piuttosto strano della vicenda è che tutto sembra essere coordinato da due indirizzi IP localizzati a Londra, entrambi registrati da una compagnia di hosting chiamata 3NT Solutions.
La compromissione è stata possibile adottando una tecnica di attacco denominata Cross Site Request Forgery che è in grado di sfruttare una vulnerabilità del firmare presente sui router di vari vendor (D-Link, Micronet, Tenda, TP-Link e altri).
La rete delle macchine compromesse non può essere considerata propriamente una botnet, dal momento che la compromissione è circoscritta ai router e non ai computer alle loro spalle, ma come Team Cymru sottolinea, questo livello di accesso potrebbe essere anche più pericoloso, dal momento che permette di condurre attacchi di tipo man-in-the-middle.
La società di sicurezza porta l'esempio di un attacco condotto in Polonia, dove è stato possibile sfruttare router compromessi per effettuare lo spoofing del sito web della banca mBank, raccogliere le credenziali degi utenti e infine svuotare i conti correnti online. In un contesto di questo tipo gli attaccanti possono usare i router per dirigere gli URL a qualsiasi server essi vogliano, mettendo in campo attacchi sofisticati.
Tam Cymru ha già contattato le autorità, sta ora cercando di rintracciare i riferimenti dei due indirizzi IP e sta sensibilizzando i vendor affinché rilascino una patch correttiva. Secondo le informazioni disponibili la maggior parte dei router presenti in USA e nell'Europa Occidentale sono al riparo da questo problema (sebbene nella documentazione di Team Cymru venga sottolineata una discreta presenza di router compromessi sul territorio italiano), mentre router vulnerabili si trovano in Europa dell'Est e in Asia, con particolare concentrazione in Vietnam e Thailandia.
E' consigliabile, pertanto, controllare la configurazione DNS dei propri router e verificare di aver impostato quelli forniti dal proprio provider di connettività, i DNS Google (8.8.8.8 e 8.8.4.4) oppure ancora OpenDNS (208.67.222.222 oppure 208.67.220.220).
Anda sedang membaca artikel tentang
DNS modificati su 300 mila router compromessi. Anche in Italia
Dengan url
https://pamarankom.blogspot.com/2014/03/dns-modificati-su-300-mila-router.html
Anda boleh menyebar luaskannya atau mengcopy paste-nya
DNS modificati su 300 mila router compromessi. Anche in Italia
namun jangan lupa untuk meletakkan link
DNS modificati su 300 mila router compromessi. Anche in Italia
sebagai sumbernya
0 komentar:
Posting Komentar