Tutto è cominciato con una segnalazione pervenuta nei giorni scorsi ai tecnici dell’Internet Storm Center (ISC) di SANS. Un provider Internet USA avrebbe infatti rilevato del traffico sospetto diretto verso un buon numero di router installati presso le sedi dei suoi clienti.
Dopo le prime indagini, gli esperti hanno scoperto che ad aver attaccato i router è stato un malware in grado di replicarsi autonomamente. Battezzato “TheMoon“, il malware è capace di diffondersi da router a router infettando i dispositivi vulnerabili.
Quali sono i router bersagliati dal malware e come proteggersi?
Stando alle analisi sin qui condotte, i router presi di mira da “TheMoon” sarebbero i seguenti modelli di device a marchio Linksys (brand acquisito da Belkin): E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900, E300, WAG320N, WAP300N, WAP610N, WES610N, WET610N, WRT610N, WRT600N, WRT400N, WRT320N, WRT160N e WRT150N. La lista, però, potrebbe non essere ancora completa o comunque accurata.
Ad essere a rischio dovrebbero essere i soli utenti che hanno abilitato la funzionalità utilizzata per la gestione remota del router.
Linksys ha confermato il problema ricordando che tutti i possessori di router delle serie “E” ed “N” è bene che procedano all’installazione dell’ultima versione del firmware assicurandosi che la gestione remota sia disattivata così come siano filtrate tutte le richieste anonime (non autenticate) provenienti dalla rete Internet.
Secondo un ricercatore anonimo, conosciuto con il nickname Rew, sarebbero quattro gli script CGI utilizzati dai router Linksys ad essere presi di mira dal malware. I router Linksys infetti da “TheMoon” inizierebbero a generare un notevole traffico dati in uscita sulle porte 80 e 8080 (tanto da rallentare drasticamente le performance di rete dell’intera LAN) alla ricerca di altri dispositivi attaccabili. Le interrogazioni verso i dispositivi remoti vengono lanciate usando il protocollo HNAP: in caso di risposta, il malware può immediatamente stabilire marca e modello del dispositivo con cui ha a che fare.
Per questo motivo, gli esperti di SANS suggeriscono di collegarsi con l’indirizzo http://IP_ROUTER/HNAP1
(IP_ROUTER va ovviamente sostituito con l’indirizzo IP assegnato al router Linksys) per verificare se si riceva o meno una risposta.