Gli hacker sfruttano una vulnerabilità zero-day nei router GPON

Gli hacker sfruttano una vulnerabilità zero-day nei router GPON

Gli hacker sfruttano una vulnerabilità zero-day nei router GPON

I ricercatori di sicurezza di Qihoo 360 Netlab hanno avvertito che una nuova botnet sfrutta una nuova vulnerabilità zero-day nei router GPON (Passive Optical Network) Gigabit-capable, prodotti dalla DASAN Zhone Solutions con sede in Corea del Sud.

La botnet, soprannominata TheMoon, che è stata vista per la prima volta nel 2014 e ha aggiunto almeno 6 exploit di dispositivo IoT alle sue versioni successive dal 2017, ora sfrutta un difetto zero-day appena rivelato per i router GPON.

I ricercatori di Netlab hanno testato con successo il nuovo carico utile di attacco su due diverse versioni di GPON home router, anche se non hanno rivelato dettagli del carico utile o rilasciato ulteriori dettagli sulla nuova vulnerabilità zero-day per prevenire ulteriori attacchi.

La botnet di TheMoon ha conquistato i titoli dell’anno 2015-16 dopo aver scoperto la diffusione di malware su un gran numero di modelli di router ASUS e Linksys utilizzando vulnerabilità RCE (Remote Code Execution).

Altre botnet che scelgono i router GPON

l'hacking-GPON-router-exploit

All’inizio di questo mese sono state individuate almeno cinque diverse botnet sfruttando due vulnerabilità critiche nei router GPON rivelate il mese scorso che alla fine consentono agli aggressori remoti di assumere il pieno controllo del dispositivo.

Come spiegato nel nostro post precedente, le 5 famiglie di botnet, tra cui Mettle, Muhstik, Mirai , Hajime e Satori , sono state trovate sfruttando un bypass di autenticazione (CVE-2018-10561) e un root-RCE (CVE-2018-10562) difetti nei router GPON.

Poco dopo che i dettagli delle vulnerabilità sono diventati pubblici, un exploit proof-of-concept (PoC) funzionante per le vulnerabilità dei router GPON è stato reso disponibile al pubblico, rendendo più facile l’utilizzo anche per gli hacker non esperti.

In una ricerca separata, i ricercatori di Trend Micro hanno individuato attività di scansione di tipo Mirai in Messico, indirizzando i router GPON che utilizzano nomi utente e password predefiniti.

“A differenza della precedente attività, gli obiettivi per questa nuova procedura di scansione sono distribuiti”, hanno detto i ricercatori di Trend Micro. “Tuttavia, sulla base delle combinazioni di nome utente e password che abbiamo trovato nei nostri dati, abbiamo concluso che i dispositivi di destinazione consistono ancora di router domestici o telecamere IP che utilizzano password predefinite.”

Come proteggere il router Wi-Fi dall’hacking

Le due vulnerabilità di GPON precedentemente divulgate erano già state segnalate a DASAN, ma la società non ha ancora rilasciato alcuna correzione, lasciando aperti a questi operatori di botnet milioni di clienti.

Pertanto, fino a quando il produttore del router non rilascia una patch ufficiale, gli utenti possono proteggere i loro dispositivi disabilitando i diritti di amministrazione remota e utilizzando un firewall per impedire l’accesso dall’esterno a Internet.

Apportare queste modifiche ai tuoi router vulnerabili limiterebbe l’accesso alla rete locale solo, all’interno della portata della tua rete Wi-Fi, riducendo così efficacemente la superficie di attacco eliminando gli attaccanti remoti.

Michele Minister

Ciao e benvenuto nel mio sito e voglio dirti Chi Sono, innanzitutto parto col dire che mi chiamo Marco Martini ma sono anche chiamato Michele Minister dato che Michele è il mio secondo nome e Minister è il nickname che ho da sempre utilizzato su tutti i giochi e quindi li ho messi insieme dato che non volevo utilizzare il classico Nome e Cognome per creare un sito. Ho soli 17 anni e svolgo parallelamente alla scuola la professione di Webmaster e Divulgatore Informatico, sono sempre stato timido ed insicuro ma con il diffondersi maggiormente delle nuove tecnologie e di Internet, mi sono avvicinato a questo nuovo mondo che ho sempre reputato il migliore.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

×
WhatsApp chat