Autore: IlSoftware.it

Una vasta gamma di router a marchio Arcor, Asus e TP-Link sarebbero vulnerabili ad un attacco in grado di resettare il dispositivo ed operarne una completa riconfigurazione senza alcuna autorizzazione da parte dell’amministratore di rete o comunque del proprietario del device.
Il problema è stato segnalato da Bogdan Calin, ricercatore esperto di sicurezza informatica, che ha dimostrato come la semplice visualizzazione di un messaggio di posta elettronica da parte di uno degli utenti dei sistemi client connessi con il router, possa avere spiacevoli conseguenze. L’e-mail di test che Calin ha messo a punto, una volta aperta, viene utilizzata come testa di ponte per riconfigurare automaticamente il router vulnerabile e reindirizzare le richieste di connessione inoltrare a siti web ben noti ed assolutamente legittimi verso indirizzi utilizzati per compiere attacchi phishing.

L’attacco messo a punto da Calin sfrutta la ben nota tecnica Cross-Site Request Forgery (CSRF): nel corpo del messaggio di posta, l’aggressore inserisce un’immagine il cui URL fa riferimento all’indirizzo IP di default del router (spesso, 192.168.1.1). Tale indirizzo contiene un parametro che consente di richiedere la modifica del server DNS utilizzato dal router per consentire la risoluzione dei nomi a dominio. Così, inviando una richiesta del tipo http://admin:password@192.168.1.1/start_apply.htm?dnsserver=66.66.66.66, automaticamente girata al router nel momento dell’apertura dell’e-mail, l’aggressore potrebbe riuscire a modificare il server DNS di riferimento sostituendolo con uno “maligno”: quest’ultimo risolverà in modo scorretto gli indirizzi dei siti web più famosi (ad esempio, www.facebook.com) instradando le richieste dell’utente non più verso i server legittimi ma verso sistemi allestiti da parte di malintenzionati.

Affinché l’attacco possa avvenire con successo è indispensabile che l’utente-vittima abbia lasciato impostate sul router le credenziali di default per l’accesso al suo pannello di controllo web (esempio admin password).
Tutti i sistemi client, collegati al router in modalità ethernet o wireless, se impostati su “Ottieni indirizzo server DNS automaticamente” (vedere la finestra di configurazione della connessione LAN), verranno a questo punto dirottati verso siti maligni.

Uno dei consigli migliori resta sempre quello di modificare le credenziali d’accesso impostate in modo predefinito sul router.
Maggiori informazioni sono riportate in questo articolo.