I router Smart Wi-Fi di Linksys non sarebbero così intelligenti. Secondo il ricercatore Troy Mursch, i dispositivi di rete dell’azienda conterrebbero una grave falla che permetterebbe a un malintenzionato di accedere a informazioni sensibili da remoto anche senza autenticazione. I dettagli dell’exploit sono stati pubblicati su questo blog. Secondo gli honeypot di Bad Packets, la società per cui Mursch lavora, sarebbero online oltre 25.600 router Smart Wi-Fi vulnerabili e la maggior parte di essi si troverebbe negli Stati Uniti. Alcuni di essi avrebbero esposto gli indirizzi Mac dei dispositivi connessi oltre al nome stesso del device, il tipo di sistema operativo e, in certi casi, anche le impostazioni Wan, lo stato del firewall, le configurazioni e le impostazioni di aggiornamento del firmware. Si tratta in certi casi di dati molto importanti. Con l’indirizzo Mac, per esempio, è possibile tracciare i movimenti di un dispositivo in una rete.
Se, invece, il nome del device include (come spesso succede) il nome del proprietario potrebbe essere possibile risalire all’identità dell’utente e, grazie alla geolocalizzazione consentita dall’indirizzo Ip, conoscere altre informazioni private. Come spiegato dal ricercatore, l’indirizzo Ip da solo non dà una localizzazione geografica precisa. Ma esistono servizi, come Wigle, che riescono a ricavare questa informazione basandosi soltanto sul nome di rete (Ssid) o sull’indirizzo Mac dei terminali.
Il bug del firmware dei prodotti Linksys (Cve-2014-8244) sarebbe stato segnalato la prima volta nel 2014. L’azienda avrebbe in seguito rilasciato una patch, ma secondo Bad Packets non sarebbe così. La società di analisi ha contattato il vendor per informarlo della situazione: Linksys avrebbe però scelto di chiudere il caso bollandolo come “non risolvibile”. La buona notizia è che oltre la metà dei router vulnerabili ha l’aggiornamento automatico del firmware attivato. Se l’azienda dovesse rilasciare una (nuova?) patch, i dispositivi sarebbero protetti senza che l’utente debba fare nulla.
Sistemi Asus sotto attacco
In queste ore si è diffusa un’altra notizia di sicurezza, che riguarda la soluzione di archiviazione in cloud di Asus, Webstorage. Secondo Eset, la piattaforma sarebbe stata sfruttata per sferrare attacchi man in the middle (Mitm) e distribuire il malware Plead. Il programma maligno è specializzato nel furto di dati sensibili, come per esempio le credenziali di accesso, e sfrutta l’omonima backdoor e lo strumento di esfiltrazione Drigo.
Il malware è stato collegato in passato al gruppo di cyberspionaggio Blacktech, probabilmente residente in Asia e ritenuto responsabile di attacchi contro obiettivi in Giappone, Hong Kong e Taiwan. È in quest’ultimo Paese che Plead è stato distribuito in misura maggiore. I ricercatori di Eset hanno scoperto che, da fine aprile, il programma è stato spesso eseguito dal processo legittimo Asuswspanel.exe, presente nei sistemi Windows che ospitano la piattaforma Webstorage di Asus. Il file eseguibile è firmato digitalmente dalla società taiwanese. L’azienda è stata allertata da Eset; è probabile che una patch venga rilasciata a breve.