giovedì 7 giugno 2018

VPNFilter: è peggio del previsto. Già implementate nuove funzionalità.


Del malware VPNFilter, alla base di una botnet di oltre 500,000 router e dispositivi NAS sparsi in oltre 54 paesi, abbiamo già parlato qua. La novità rispetto alla situazione già grave descritta nel precedente articolo, è che il malware ha subito l'implementazione di nuove funzionalità che lo rendono ancora più pericoloso, ma si è anche allungata la lista dei dispositivi target. 

Cisco Talos ha pubblicato i dettagli tecnici di una nuova ricerca e ha aggiunto alla lista dei dispositivi sotto attacco (che ricordiamo essere Linksys, MikroTik, Netgear, TP-Link e QNAP ) anche i router di ASUS, D-Link. Huawei, Ubiquiti, UPVEL e ZTE. Si passa, giusto per dare un dato che dia la misura di questa minaccia, da una prima lista di 16 dispositivi a una seconda di 71.. e chissà che non se ne aggiungano altri. In chiusura di articolo la lista dei dispositivi vulnerabili. 

I nuovi plugin
Come già detto, VPNFilter si diffonde con un meccanismo due fasi+una: l'ultima fase è quella nella quale il RAT (remote access trojan) che viene scaricato sulla macchina bersaglio subisce l'implementazione di una serie di plugin secondo i comandi impartiti dal server C&C controllato dagli attaccanti. 

I nuovi plugin sono: 
1. ssler: è un plugin per intercettare e modificare il traffico web sulla porta 80 tramite un attacco man-in-the-middle. Supporta anche il downgrade dal protocollo HTTPS al quello HTTP.

2. dtsr: plugin er sovrascrivere il firmware del dispositivo. Cisco sapeva già che VPNFilter può manomettere/cancellare il firmawre del dispositivo, ma durante questa analisi ha individuato il plugin specifico. 

I plugin già conosciuti invece:
1. ps: questo plugin intercetta i pacchetti nella rete e ha la capacità di individuare uno specifico tipo di traffico di rete. Cisco ritiene che questo plugin serva a controllare i pacchetti Modbus TCP/IP, spesso usati in software industriali e apparecchiature SCADA. Nel report più recente però si afferma che il plugin ricerca anche apparecchiature industriali che si collegano su reti private virtuali TP-Link R600. 

2. tor: plugin usato dai bot VPNFilter per comunicare col server C&C tramite la rete Tor. 

La lista dei dispositivi target
Sotto trovate la lista aggiornata di router e NAS bersagliati dal malware VPNFilter. Cisco fa sapere,  che VPNFilter non usa una vulnerabilità 0-day, il che significa che tutti i modelli elencati sono vulnerabili ad exploit contro versioni non aggiornate all'ultima di firmware. Aggiornare i firmware all'ultima versione potrebbe aiutare a porsi fuori dalla portata del malware. 

Dispositivi Asus:
  • RT-AC66U (nuovo)
  • RT-N10 (nuovo)
  • RT-N10E (nuovo)
  • RT-N10U (nuovo)
  • RT-N56U (nuovo)
  • RT-N66U (nuovo)

Dispositivi D-Link:
  • DES-1210-08P (nuovo)
  • DIR-300 (nuovo)
  • DIR-300A (nuovo)
  • DSR-250N (nuovo)
  • DSR-500N (nuovo)
  • DSR-1000 (nuovo)
  • DSR-1000N (nuovo)

Dispositivi Huawei:
  • HG8245 (nuovo)

Dispositivi Linksys:
  • E1200
  • E2500
  • E3000 (nuovo)
  • E3200 (nuovo)
  • E4200 (nuovo)
  • RV082 (nuovo)
  • WRVS4400N

Dispositivi  Mikrotik: (Bug risolto nella versione 6.38.5 del SO del router)
  • CCR1009 (nuovo)
  • CCR1016
  • CCR1036
  • CCR1072
  • CRS109 (nuovo)
  • CRS112 (nuovo)
  • CRS125 (nuovo)
  • RB411 (nuovo)
  • RB450 (nuovo)
  • RB750 (nuovo)
  • RB911 (nuovo)
  • RB921 (nuovo)
  • RB941 (nuovo)
  • RB951 (nuovo)
  • RB952 (nuovo)
  • RB960 (nuovo)
  • RB962 (nuovo)
  • RB1100 (nuovo)
  • RB1200 (nuovo)
  • RB2011 (nuovo)
  • RB3011 (nuovo)
  • RB Groove (nuovo)
  • RB Omnitik (nuovo)
  • STX5 (nuovo)

Dispositivi Netgear:
  • DG834 (nuovo)
  • DGN1000 (nuovo)
  • DGN2200
  • DGN3500 (nuovo)
  • FVS318N (nuovo)
  • MBRN3000 (nuovo)
  • R6400
  • R7000
  • R8000
  • WNR1000
  • WNR2000
  • WNR2200 (nuovo)
  • WNR4000 (nuovo)
  • WNDR3700 (nuovo)
  • WNDR4000 (nuovo)
  • WNDR4300 (nuovo)
  • WNDR4300-TN (nuovo)
  • UTM50 (nuovo)

Dispositivi QNAP:
  • TS251
  • TS439 Pro
  • Altri dispositivi NAS QNAP che eseguono il software QTS

Dispositivi TP-Link:
  • R600VPN
  • TL-WR741ND (nuovo)
  • TL-WR841N (nuovo)

Dispositivi Ubiquiti:
  • NSM2 (nuovo)
  • PBE M5 (nuovo)

Dispositivi UPVEL:
  • Unknown Models (nuovo)

Dispositivi ZTE:
  • ZXHN H108N (nuovo)

Nessun commento:

Posta un commento