Alcuni router D-Link contengono una backdoor, una falla nella sicurezza,
che può consentire accessi indesiderati. Ad affermarlo è Craig Heffner,
un ricercatore che collabora con una società statunitense attiva nel settore
della sicurezza informatica. Dopo aver compiuto il reverse engineering
del firmware di uno dei router D-Link, Heffner ha scoperto che una singola
stringa permetterebbe a un utente remoto di accedere, senza alcuna limitazione,
al pannello di controllo del dispositivo connesso a Internet.
Per avere carta bianca, un malintenzionato dovrebbe solamente
modificare la stringa user agent del suo browser Web prima di
connettersi con l’IP del router impostandola così come segue “xmlset*********leoj2***0ybtide” (abbiamo volutamente omesso alcuni caratteri).
Lo user agent, lo ricordiamo, è la stringa di caratteri con cui ciascun browser si
identifica ogniqualvolta si visita una pagina Web. Esso contiene, di solito, il
nome del browser, la versione e il motore di rendering utilizzato (per
verificare la propria stringa user agent, suggeriamo di visitare questa pagina).
Modificando lo user agent, quindi, un malintenzionato
potrebbe accedere indisturbato al pannello di amministrazione di alcuni router
D-Link (da remoto, nel caso in cui sia attiva l’amministrazione remota del
device oppure dalla rete locale), variare le configurazioni ed eventualmente
reindirizzare tutto il traffico della rete locale verso un sistema di propria
scelta o modificare i server DNS di riferimento. L’aggressore potrà così spiare
il traffico dati altrui raccogliendo dati personali e informazioni sensibili
oppure mettendo in piedi veri e propri attacchi phishing.
Heffner ha poi evidenziato un curioso particolare: se si legge
al contrario la stringa che di fatto attiva la backdoor e permette di saltare
l’autenticazione eliminando i caratteri numerici, si ottiene “edited by
Joel backdoor“. Secondo il ricercatore, quindi, si tratta di una
funzionalità voluta, lasciata abilitata di default. “Suppongo
che gli sviluppatori abbiano a un certo punto realizzato che qualche servizio o
programma aveva la necessità di modificare in modo automatico le impostazioni
del router“, scrive Heffner. “Dal momento che il server web
sul router richiede username e password, il programmatore Joel deve aver
esclamato: ecco il mio astuto piano!” E si è deciso per l’aggiunta
della backdoor.
Pare però che diversi router D-Link oggi usati contengano la
backdoor. I modelli elencati dal ricercatore statunitense sono i seguenti: DIR-100,
DI-524, DI-524UP, DI-604S, DI-604UP, DI-604+, TM-G5240. Sebbene non sia
stato ancora confermato, anche il DIR-615 potrebbe essere affetto dalla
medesima problematica.
Cosa ancor più grave, sempre
secondo Heffner, è che sebbene la sua scoperta sia avvenuta nell’ultimo fine
settimana, l’esistenza della backdoor sarebbe nota ai cracker almeno da tre
anni. Il ricercatore ha infatti rinvenuto la “stringa di Joel” in un
forum russo dai contenuti piuttosto “dubbi”.
D-Link non ha confermato l’esistenza del problema. Ha invece confermato l’impegno nella realizzazione di un firmware volto a risolvere eventuali nuove vulnerabilità. Non appena tale firmware sarà disponibile per il download, D-Link provvederà a pubblicarlo in questa pagina
Nel frattempo, suggerisce di verificare che la connessione Wi-Fi
eventualmente abilitata sul router sia sufficientemente sicura in modo da
prevenire accessi non autorizzati. Inoltre, suggerisce di disattivare la
funzionalità che permette l’amministrazione remota del router.
Ficcante il commento che Eugene
Kaspersky, uno dei maggiori esperti al mondo di sicurezza informatica e responsabile
dell’omonima società, ha rivolto a D-Link via Twitter: “Avete un ingegnere di
nome Joel? Licenziatelo”.