ROUTER DRAYTEK, FONDAMENTALE AGGIORNARLI ! PIU’ DI 800.000 SONO A RISCHIO

ROUTER DRAYTEK, FONDAMENTALE AGGIORNARLI !
PIU’ DI 800.000 SONO A RISCHIO

 

Qualche giorno fa molti utenti hanno segnalato su Twitter attacchi informatici zero-day contro i propri router DrayTek, attacchi poi confermati dalla stessa casa produttrice di Taiwan.

Un attacco su alcuni modelli vulnerabili di questi router potrebbe portare un criminale, che sfrutti tale vulnerabilità, a modificare nei dispositivi le impostazioni relative agli indirizzi dei DNS server. In questo modo il traffico della rete aziendale verrebbe diretto verso un Server DNS con IP 38.134.121.95 che si trova sulla rete di Telecom China, potendo così generare un attacco Man-in-the-Middle in quanto i criminali reindirizzano gli utenti verso cloni dei siti legittimi per rubare loro le credenziali di autenticazione.

Il produttore ha rilasciato un avviso di sicurezza sulla vulnerabilità e da poco sullo stesso ha anche rilasciato la patch per risolvere la vulnerabilità. Tutti gli utilizzatori di router DrayTek dovrebbero aggiornare il firmware comprensivo della patch quanto prima. In ogni caso, in attesa di farlo, la stessa DrayTek consiglia:

“Controlla le impostazioni DNS e DHCP sul tuo router. Se si dispone di un router che supporta più subnet LAN, verificare le impostazioni per ciascuna sottorete. Le impostazioni DNS dovrebbero essere vuote, impostare gli indirizzi dei server DNS corretti dall'ISP o gli indirizzi server DNS di un server che hai impostato volontariamente (ad es. Google 8.8.8.8). Un server DNS fraudolento è 38.134.121.95 - se lo vedi, il tuo router è stato compromesso”.

Al di là di tutto sconsigliamo “caldissimamente” di lasciare le credenziali di default sui router che si utilizzano, anche se DrayTek comunica che l’exploit utilizzato dai criminali per questo attacco funziona anche se le credenziali sono state opportunamente cambiate.

Nel momento in qui stiamo scrivendo, da una ricerca con il motore Shodan, possiamo dire che i router DrayTek utilizzati sono circa 802.000 e di questi alcuni modelli sono vulnerabili e devono essere aggiornati.

 

 

 

I nostri esperti di Sicurezza e il nostro Operations Center saranno lieti di aiutarvi per qualsiasi esigenza. Contattateci per una verifica sullo stato di sicurezza della Vostra Rete o sui nostri piani formativi al Vs personale dipendente.