Sono passate solo poche settimane da quando abbiamo sentito parlare del malware VPNFilter. Collegato alla Russia, il malware ha colpito 500.000 router in tutto il mondo, ma ora i ricercatori di sicurezza di Cisco Talos avvertono che il problema è molto peggiore di quanto si pensasse.

Inizialmente pensato per interessare solo i router e i dispositivi di archiviazione SOHO di Linksys, MikroTik, Netgear, TP-Link e QNAP, l’elenco a rischio è stato esteso per includere router di fascia consumer da Linksys, MikroTik, Netgear e TP-Link. I ricercatori hanno anche scoperto che il malware è più potente di quanto suggerito dalle valutazioni iniziali: ora è noto che è in grado di aggirare la crittografia SSL ed eseguire attacchi man-in-the-middle.

Talos spiega che oltre alle nuove marche di hardware che sono state aggiunte all’elenco dei dispositivi di destinazione, sono state scoperte anche funzionalità precedentemente sconosciute. In un post del blog aggiornato, i ricercatori spiegano: “Abbiamo anche scoperto un nuovo modulo di fase 3 che inietta contenuti dannosi nel traffico Web mentre passa attraverso un dispositivo di rete. Al momento della nostra pubblicazione iniziale, non avevamo tutte le informazioni relative alla fase sospetta 3 moduli: il nuovo modulo consente all’attore di fornire exploit agli endpoint tramite una funzionalità man-in-the-middle (ad esempio, possono intercettare il traffico di rete e immettere codice malizioso in esso senza che l’utente ne sia a conoscenza). confermare che la minaccia va oltre ciò che l’attore può fare sul dispositivo di rete stesso e estende la minaccia alle reti supportate da un dispositivo di rete compromesso. ”

Continuano a dire:

Inoltre, abbiamo scoperto un modulo Stage 3 aggiuntivo che fornisce a qualsiasi modulo stage 2 che non ha il comando kill la capacità di disabilitare il dispositivo. Quando viene eseguito, questo modulo rimuove specificamente le tracce del malware VPNFilter dal dispositivo e quindi rende il dispositivo inutilizzabile.

Al momento non sono note vulnerabilità zero-day associate a VPNFilter, ma gli attacchi sono possibili attraverso vulnerabilità note.

Juniper Networks analizza i risultati chiave relativi al malware:

  1. L’elenco dei marchi di router interessati continua a crescere, ma è ancora limitato ai marchi che coprono il segmento piccolo ufficio / home office del mercato.  Nessun marchio aziendale è interessato. Non si ritiene che i router Juniper Networks siano interessati.
  2. Il malware può infettare i dispositivi dietro un router infetto iniettando contenuto nel traffico web e tentando di sfruttare gli endpoint.  Questo non significa che avrà successo nel tentativo di sfruttamento. Significa solo che l’exploit viene tentato senza che un utente debba visitare un sito compromesso, fare clic su un collegamento dannoso o aprire un allegato di posta elettronica dannoso.
  3. Il malware ha un modulo stage 3 che può rendere inutilizzabile il dispositivo infetto.  Inizialmente si pensava che esistesse solo in un malware di fase 2, ma sembra che un modulo di stage 3 fornisca la stessa capacità. Questo ci porta a credere che nei precedenti periodi di questa campagna, il malware di fase 2 non avesse questa capacità e sia stato introdotto solo più recentemente. Quindi, per coprire l’infezione precoce, è stata aggiunta questa funzionalità del modulo di fase 3.

Di seguito è riportato l’elenco dei dispositivi a rischio. Se vedi il tuo hardware nell’elenco, il consiglio è di riavviarlo e assicurarsi di avere installato l’ultimo firmware ufficiale. In alcuni casi, potrebbe essere necessario sostituire semplicemente l’hardware.

  • ASUS DEVICES:
    • RT-AC66U (nuovo)
    • RT-N10 (nuovo)
    • RT-N10E (nuovo)
    • RT-N10U (nuovo)
    • RT-N56U (nuovo)
    • RT-N66U (nuovo)
  • DISPOSITIVI D-LINK:
    • DES-1210-08P (nuovo)
    • DIR-300 (nuovo)
    • DIR-300A (nuovo)
    • DSR-250N (nuovo)
    • DSR-500N (nuovo)
    • DSR-1000 (nuovo)
    • DSR-1000N (nuovo)
  • DISPOSITIVI HUAWEI:
    • HG8245 (nuovo)
  • DISPOSITIVI LINKSYS:
    • E1200
    • E2500
    • E3000 (nuovo)
    • E3200 (nuovo)
    • E4200 (nuovo)
    • RV082 (nuovo)
    • WRVS4400N
  • DISPOSITIVI MIKROTIK:
    • CCR1009 (nuovo)
    • CCR1016
    • CCR1036
    • CCR1072
    • CRS109 (nuovo)
    • CRS112 (nuovo)
    • CRS125 (nuovo)
    • RB411 (nuovo)
    • RB450 (nuovo)
    • RB750 (nuovo)
    • RB911 (nuovo)
    • RB921 (nuovo)
    • RB941 (nuovo)
    • RB951 (nuovo)
    • RB952 (nuovo)
    • RB960 (nuovo)
    • RB962 (nuovo)
    • RB1100 (nuovo)
    • RB1200 (nuovo)
    • RB2011 (nuovo)
    • RB3011 (nuovo)
    • RB Groove (nuovo)
    • RB Omnitik (nuovo)
    • STX5 (nuovo)
  • DISPOSITIVI NETGEAR:
    • DG834 (nuovo)
    • DGN1000 (nuovo)
    • DGN2200
    • DGN3500 (nuovo)
    • FVS318N (nuovo)
    • MBRN3000 (nuovo)
    • R6400
    • R7000
    • R8000
    • WNR1000
    • WNR2000
    • WNR2200 (nuovo)
    • WNR4000 (nuovo)
    • WNDR3700 (nuovo)
    • WNDR4000 (nuovo)
    • WNDR4300 (nuovo)
    • WNDR4300-TN (nuovo)
    • UTM50 (nuovo)
  • DISPOSITIVI QNAP:
    • TS251
    • TS439 Pro
    • Altri dispositivi QNAP NAS con software QTS
  • DISPOSITIVI TP-LINK:
    • R600VPN
    • TL-WR741ND (nuovo)
    • TL-WR841N (nuovo)
  • DISPOSITIVI UBIQUITI:
    • NSM2 (nuovo)
    • PBE M5 (nuovo)
  • UPVEL DEVICES:
    • Modelli sconosciuti * (nuovo)
  • DISPOSITIVI ZTE:
    • ZXHN H108N (nuovo)