È l’esito sconcertante di un recente studio condotto dall’azienda IoT Inspector insieme ad alcuni giornalisti del magazine tedesco CHIP, diffusa da quest’ultima ed in seguito da Bleeping Computer, che ha analizzato i modelli più venduti per gli utenti privati e le PMI.
In particolare, i fornitori Asus, D-Link, TP-Link, Netgear, AVM, Edimax, Synology e Linksys hanno fornito i propri dispositivi attualmente in vendita, aggiornati all’ultima versione del firmware, che ha permesso loro di poterli testare su oltre 5.000 vulnerabilità ed esposizioni comuni – le c.d. CVE – e altri problemi di sicurezza.
I primi in termini di numero di vulnerabilità sono risultati il TP-Link Archer AX6000 ed il Synology RT-2600ac, rispettivamente con 32 e 30 vulnerabilità.
Left column translated by BleepingComputer
Sebbene non tutti i difetti comportassero lo stesso livello di rischio, i ricercatori hanno riscontrato alcuni problemi comuni ai modelli presi in considerazione:
– Kernel Linux obsoleto all’interno del firmware,
– Funzioni multimediali e VPN obsolete,
– Eccessivo affidamento sulle versioni precedenti del software BusyBox,
– Presenza di credenziali hardcoded in formato txt,
– Utilizzo di password deboli di default (nella maggior parte dei casi “admin”).
È proprio l’utilizzo di credenziali predefinite, mantenendo le stesse fornite al momento dell’acquisto del router, che configura la vulnerabilità più sfruttata tra tutte quelle riscontrate.
Jan Wendenburg, amministratore delegato di IoT Inspector, ha affermato che “la modifica delle password al primo utilizzo e l’abilitazione della funzione di aggiornamento automatico devono essere una pratica standard su tutti i dispositivi IoT, indipendentemente dal fatto che il dispositivo venga utilizzato a casa o in una rete aziendale…il pericolo più grande, oltre alle vulnerabilità introdotte dai produttori, è l’utilizzo di un dispositivo IoT secondo il motto ‘plug, play and forget’”.
Quanto al metodo adottato, il team ha diffuso i dettagli solamente dell’estrazione delle chiavi di crittografia di un router D-link, modello DIR-X1560. In quel caso i tecnici hanno dapprima trovato un modo per ottenere i privilegi locali così da avere l’accesso alla shell tramite l’interfaccia di debug, poi hanno scaricato l’intero filesystem utilizzando i comandi BusyBox incorporati e, una volta reperito il codice della routine di decrittazione, analizzando le variabili e le corrispondenti funzioni, sono arrivati ad individuare la chiave AES con cui era stato crittografato il firmware.
Attraverso quella chiave chiunque può inviare delle finte release del firmware per installare malware sui dispositivi.
Le aziende produttrici dei dispositivi incriminati hanno rilasciato delle patch per la maggior parte dei difetti riscontrati, sebbene li abbiano in gran parte additati come di scarsa importanza, ed hanno promesso di adottare policy più stringenti sulle password di default, ad eccezione della Edimax che, secondo gli autori della ricerca, non ha dedicato molto tempo ad analizzare i problemi riscontrati ed ha rilasciato un solo aggiornamento del firmware che ha corretto alcune lacune.
