E’ stata scoperta una grave vulnerabilità in oltre 700.000 router forniti agli abbonati dagli ISP in molti paesi, e tra quelli coinvolti c’è anche l’Italia. A scoprire questa realtà è stato un ricercatore di sicurezza, che ha rilevato che il bug presente in un componente del firmware, può essere sfruttato per mettere in atto un attacco di tipo directory traversal. Con questo attacco in pratica un malintenzionato può accedere al dispositivo da remoto e fare qualsiasi operazioni maligna, come il furto dei dati di login e il cambio dei DNS.
Il pericolo di essere attaccati è dato dalla vulnerabilità individuata nel componente webproc.cgi, che può essere sfruttata per sottrarre informazioni dal file config.xml. E’ infatti in in questo file che vengono scritti i dati sensibili, come gli hash delle password per l’amministratore e anche account, username e password per eseguire la connessione al provider ADSL (PPPoE), così come le credenziali client e server per salvaguardare il protocollo di gestione remota TR-069 usato da alcuni ISP, e infine anche la password per la rete wireless, se il router ha integrato l’access point WiFi.
Il pericolo è che qualche malintenzionato possa effettuare l’accesso come amministratore e cambiare gli indirizzi DNS. Per ciò che concerne alcuni modelli questi non necessitano di usare il bug per accedere al file config.xml, e basta infatti sapere l’indirizzo esatto (URL) della posizione. Molti dei router presi in esame consentono anche il dump della memoria, dove stanno varie informazioni, tipo le password di accesso ai siti.
I modelli analizzati includono ZTE H108N e H108NV2.1, D-Link 2750E, 2730U e 2730E, Sitecom WLM-3600, WLR-6100 e WLR-4100, FiberHome HG110, Planet ADN-4101, Digisol DG-BG4011N e Observa Telecom BHS_RTA_R1A. Non si conoscono gli ISP che forniscono questi modelli di router agli abbonati poiché i nomi utilizzati sono quasi sempre differenti. La maggior parte di loro però integra un firmware realizzato dall’azienda cinese Shenzhen Gongjin Electronics.
I paesi in cui questi dispositivi vulnerabili vengono maggiormente usati sono Colombia, India, Argentina, Thailandia, Moldavia, Iran, Perù, Cile, Egitto, Cina e Italia. Inoltre, non è certo se Shenzhen Gongjin Electronics abbia già fornito una patch ai partner. Per verificare gli utenti dovrebbero controllare se c’è un firmware aggiornato oppure contattare il provider ADSL per ottenere informazioni dettagliate in merito.