ADSENSE
|
Questo post é stato letto 60 volte!
Router account segreti vulnerabilità: dietro l’interfaccia di un comune router possono nascondersi vulnerabilità note, account supervisor e nuove falle di sicurezza.
I ricercatori analizzano il firmware del router per scoprire eventuali problemi, un’attività cruciale per la sicurezza informatica.
Analisi del firmware di un router: un caso studio
Un controllo di sicurezza su un router fornito da un provider Internet ha rivelato vulnerabilità persistenti nel firmware del prodotto, distribuito a milioni di abbonati.
Un ricercatore indipendente ha identificato una falla di command injection post-autenticazione che, combinata con altre debolezze note, ha permesso di ottenere una shell completa sul dispositivo.
Perché i router sono bersagli privilegiati
Router, modem e gateway residenziali sono punti critici nell’infrastruttura domestica e aziendale.
Spesso ricevono aggiornamenti con ritardo o utilizzano firmware datati, rendendoli bersagli facili per botnet e gruppi criminali.
Il consiglio di riavviare il router, in questo contesto, è spesso insufficiente.
La scoperta di una command injection e un account nascosto
L’indagine ha rivelato una vulnerabilità di command injection accessibile dopo l’autenticazione nell’interfaccia di amministrazione.
Un utente con credenziali valide potrebbe eseguire comandi arbitrari sul sistema operativo del router a causa di una gestione errata degli input.
Questa vulnerabilità è particolarmente insidiosa, poiché può trasformare un account con privilegi limitati in un punto di controllo totale del dispositivo.
Il ricercatore è riuscito a ottenere una reverse shell, dimostrando un accesso remoto completo e continuativo.
L’account supervisor e l’accesso SSH
Un aspetto interessante è stato l’individuazione di un account “supervisor” con credenziali diverse dagli account amministrativi standard.
Dopo aver ottenuto l’accesso alla shell, il ricercatore ha modificato la password di questo utente e si è collegato tramite SSH, scoprendo una shell Linux standard con funzionalità aggiuntive nell’interfaccia amministrativa.
Il ruolo del provisioning remoto e del protocollo tr-069
Il protocollo TR-069, utilizzato per la configurazione automatica di modem e router, semplifica la gestione ma introduce complessità di sicurezza.
Un router che supporta il provisioning remoto espone componenti software aggiuntivi, meccanismi di autenticazione e servizi di gestione, aumentando i potenziali punti deboli.
Tecniche di analisi del firmware per la sicurezza
I ricercatori utilizzano una workstation Linux per identificare l’hardware del router, raccogliendo modello, versione firmware, kernel e chipset.
Strumenti come nmap enumerano i servizi esposti e le porte amministrative.
Estrazione e analisi del firmware
Dopo aver scaricato l’immagine del firmware dal sito del produttore, si usano comandi come “file firmware.bin” e “strings firmware.bin | less” per ottenere informazioni sui componenti software.
Binwalk scompone il firmware nelle sue componenti interne, individuando filesystem, kernel compressi e archivi incorporati per estrarre una copia navigabile del filesystem.
Caccia alle credenziali e password hardcoded
La ricerca di account nascosti si concentra sui file che definiscono utenti e gruppi, cercando stringhe come “admin”, “supervisor”, “support”.
Molte volte emergono ruoli amministrativi nascosti all’utente finale.
Si cercano anche password hardcoded, chiavi API e credenziali di default.
L’analisi dell’interfaccia web, tramite strumenti come Burp Suite e OWASP ZAP, permette di studiare le richieste HTTP e le API richiamate.
Reverse engineering dei binari
Per i binari proprietari, si utilizza il reverse engineering con strumenti come Ghidra e IDA Pro.
La disassemblazione rivela routine di autenticazione, controlli di accesso, stringhe nascoste e menu amministrativi non esposti pubblicamente.
I binari più interessanti sono spesso httpd, mini_httpd e cgi.
Identificazione di vulnerabilità note e analisi di avvio
I ricercatori confrontano i componenti software del router con le vulnerabilità pubbliche (CVE).
Molti produttori utilizzano software obsoleti e vulnerabili.
L’analisi della sequenza di avvio, tramite connettori UART, permette di monitorare il bootloader e il caricamento del kernel Linux, fornendo informazioni preziose.
Emulazione del firmware
Framework come FirmAE permettono di avviare il firmware in una macchina virtuale Linux, osservando il comportamento delle applicazioni web e studiando i processi interni senza interagire con l’hardware fisico.
L’unione di queste tecniche porta alla scoperta di nuove CVE, account nascosti e password hardcoded.
Implicazioni per la sicurezza dei router
La vicenda del router analizzato, con la scoperta di vulnerabilità note e di un account supervisor nascosto, è un promemoria importante.
Anche i dispositivi appena ricevuti dal provider Internet meritano verifiche approfondite.
Firmware complessi, servizi di provisioning remoto e codice accumulato nel tempo continuano a generare vulnerabilità che emergono solo dopo analisi tecniche dettagliate, sottolineando l’importanza di una vigilanza costante.
Questo post é stato letto 60 volte!