Del malware VPNFilter, alla base di una botnet di oltre 500,000 router e dispositivi NAS sparsi in oltre 54 paesi, abbiamo già parlato qua. La novità rispetto alla situazione già grave descritta nel precedente articolo, è che il malware ha subito l'implementazione di nuove funzionalità che lo rendono ancora più pericoloso, ma si è anche allungata la lista dei dispositivi target.
Cisco Talos ha pubblicato i dettagli tecnici di una nuova ricerca e ha aggiunto alla lista dei dispositivi sotto attacco (che ricordiamo essere Linksys, MikroTik, Netgear, TP-Link e QNAP ) anche i router di ASUS, D-Link. Huawei, Ubiquiti, UPVEL e ZTE. Si passa, giusto per dare un dato che dia la misura di questa minaccia, da una prima lista di 16 dispositivi a una seconda di 71.. e chissà che non se ne aggiungano altri. In chiusura di articolo la lista dei dispositivi vulnerabili.
I nuovi plugin
Come già detto, VPNFilter si diffonde con un meccanismo due fasi+una: l'ultima fase è quella nella quale il RAT (remote access trojan) che viene scaricato sulla macchina bersaglio subisce l'implementazione di una serie di plugin secondo i comandi impartiti dal server C&C controllato dagli attaccanti.
I nuovi plugin sono:
1. ssler: è un plugin per intercettare e modificare il traffico web sulla porta 80 tramite un attacco man-in-the-middle. Supporta anche il downgrade dal protocollo HTTPS al quello HTTP.
2. dtsr: plugin er sovrascrivere il firmware del dispositivo. Cisco sapeva già che VPNFilter può manomettere/cancellare il firmawre del dispositivo, ma durante questa analisi ha individuato il plugin specifico.
I plugin già conosciuti invece:
1. ps: questo plugin intercetta i pacchetti nella rete e ha la capacità di individuare uno specifico tipo di traffico di rete. Cisco ritiene che questo plugin serva a controllare i pacchetti Modbus TCP/IP, spesso usati in software industriali e apparecchiature SCADA. Nel report più recente però si afferma che il plugin ricerca anche apparecchiature industriali che si collegano su reti private virtuali TP-Link R600.
2. tor: plugin usato dai bot VPNFilter per comunicare col server C&C tramite la rete Tor.
La lista dei dispositivi target
Sotto trovate la lista aggiornata di router e NAS bersagliati dal malware VPNFilter. Cisco fa sapere, che VPNFilter non usa una vulnerabilità 0-day, il che significa che tutti i modelli elencati sono vulnerabili ad exploit contro versioni non aggiornate all'ultima di firmware. Aggiornare i firmware all'ultima versione potrebbe aiutare a porsi fuori dalla portata del malware.
Dispositivi Asus:
- RT-AC66U (nuovo)
- RT-N10 (nuovo)
- RT-N10E (nuovo)
- RT-N10U (nuovo)
- RT-N56U (nuovo)
- RT-N66U (nuovo)
Dispositivi D-Link:
- DES-1210-08P (nuovo)
- DIR-300 (nuovo)
- DIR-300A (nuovo)
- DSR-250N (nuovo)
- DSR-500N (nuovo)
- DSR-1000 (nuovo)
- DSR-1000N (nuovo)
Dispositivi Huawei:
- HG8245 (nuovo)
Dispositivi Linksys:
- E1200
- E2500
- E3000 (nuovo)
- E3200 (nuovo)
- E4200 (nuovo)
- RV082 (nuovo)
- WRVS4400N
Dispositivi Mikrotik: (Bug risolto nella versione 6.38.5 del SO del router)
- CCR1009 (nuovo)
- CCR1016
- CCR1036
- CCR1072
- CRS109 (nuovo)
- CRS112 (nuovo)
- CRS125 (nuovo)
- RB411 (nuovo)
- RB450 (nuovo)
- RB750 (nuovo)
- RB911 (nuovo)
- RB921 (nuovo)
- RB941 (nuovo)
- RB951 (nuovo)
- RB952 (nuovo)
- RB960 (nuovo)
- RB962 (nuovo)
- RB1100 (nuovo)
- RB1200 (nuovo)
- RB2011 (nuovo)
- RB3011 (nuovo)
- RB Groove (nuovo)
- RB Omnitik (nuovo)
- STX5 (nuovo)
Dispositivi Netgear:
- DG834 (nuovo)
- DGN1000 (nuovo)
- DGN2200
- DGN3500 (nuovo)
- FVS318N (nuovo)
- MBRN3000 (nuovo)
- R6400
- R7000
- R8000
- WNR1000
- WNR2000
- WNR2200 (nuovo)
- WNR4000 (nuovo)
- WNDR3700 (nuovo)
- WNDR4000 (nuovo)
- WNDR4300 (nuovo)
- WNDR4300-TN (nuovo)
- UTM50 (nuovo)
Dispositivi QNAP:
- TS251
- TS439 Pro
- Altri dispositivi NAS QNAP che eseguono il software QTS
Dispositivi TP-Link:
- R600VPN
- TL-WR741ND (nuovo)
- TL-WR841N (nuovo)
Dispositivi Ubiquiti:
- NSM2 (nuovo)
- PBE M5 (nuovo)
Dispositivi UPVEL:
- Unknown Models (nuovo)
Dispositivi ZTE:
- ZXHN H108N (nuovo)