VPNFilter: As notícias para os routers são ainda piores!

No final deste artigo, está uma lista revista dos routers que se acredita estarem particularmente em risco devido ao código malicioso conhecido como VPNFilter, segundo uma pesquisa do Talos Intelligence Group da Cisco. Estas descobertas mais recentes destacam a importância da reinicialização dos routers, conforme descrito detalhadamente neste artigo da WeLiveSecurity.

Com 56 modelos adicionais e cinco novos fabricantes afetados, é cada vez mais provável que ainda surjam mais. Isto reforça o conselho anterior: deve tomar medidas, independentemente da marca ou modelo do router que estiver a utilizar (a menos que tenha recebido garantias sólidas do seu ISP ou fornecedor de que o seu router específico não está vulnerável).

O que está a acontecer?

Centenas de milhares de routers em mais de 50 países foram comprometidos por um malware chamado VPNFilter. Quando colocado num router, este código malicioso pode espiar todo o tráfego que passa pelo mesmo. O malware também pode “bloquear” o dispositivo em que está a ser executado, fazendo com que o equipamento deixe de funcionar.

À semelhança de muitos outros malwares, o VPNFilter é modular e pode comunicar pela Internet com um sistema Command and Control (C2) para descarregar módulos adicionais. A investigação acerca das funcionalidades VPNFilter está a ser elaborada.

Os routers são dispositivos especializados que direcionam o tráfego entre redes, por exemplo, entre a rede do seu escritório e a rede global conhecida como internet. Os routers têm três locais para armazenar códigos e informações: memória regular, que é “volátil” e perde o seu conteúdo quando desliga a energia; memória não volátil que retém seu conteúdo mesmo quando a energia é desligada; e firmware, cujo conteúdo é relativamente difícil de alterar.

Grande parte do código do VPNFilter reside na memória volátil e é eliminado por uma reinicialização ou “desligando e ligando” (ou seja, desligue – aguarde 30 segundos – e ligue-o novamente). É por isso que os especialistas em segurança e o FBI recomendam a reinicialização do seu router.

No entanto, uma reinicialização não remove o código que o VPNFilter possa ter gravado na memória não volátil. Limpar a memória não volátil requer uma reinicialização do dispositivo, mas NÃO deve executar uma redefinição a menos que saiba o que está a fazer (consulte as instruções e conselhos neste artigo do WeLiveSecurity).

Se o seu router for fornecido pelo ISP, deve contatá-lo para obter instruções se ele ainda não o alertou e avisou sobre a situação.

Outras etapas a serem consideradas são atualizar o router para o firmware mais recente, alterar a palavra-passe de administração padrão e desativar a administração remota. Instruções para executar essas funções podem ser encontradas no site do fabricante do router.

Sim, provavelmente tem um router

Já sabemos, com base no feedback dos clientes, que o conhecimento acerca dos routers e como os proteger varia consideravelmente de pessoa para pessoa.

Uma questão básica – eu tenho um router? – é realmente mais complicada de responder do que pode imaginar. Muitas casas e pequenos escritórios têm uma variedade de caixas que trabalham juntas para disponibilizar a Internet para os seus computadores, smartphones, tablets, TVs inteligentes, termostatos, entre outros.

Esta disponibilização da Internet pode ser feita sem fios, através de um ponto de acesso Wi-Fi, através de cabos Ethernet ou através de um switch. O sinal do seu ISP necessita de passar por um modem antes que o router envie o sinal de rede para o dispositivo correto. O diagrama a seguir explica como funciona:

Felizmente, por vezes de forma confusa, todas estas funcionalidades são disponibilizadas por uma única caixa, que pode não ser chamada de router, embora faça as mesmas funcionalidades (e pode ter capacidades sem fios, mesmo sem antena).

Estas descrições básicas vão certamente ajudá-lo a identificar a sua configuração atual de modo a que possa reincializar a caixa que está a ser responsável pelo roteamento. Mesmo que tenha várias caixas em vez de uma só, não será difícil desativá-las e ativá-las novamente. Na verdade, já lhe devem ter pedido isto quando ligou para o seu ISP a a abordar algum problema.

O que importa salientar é que o VPNFilter é claramente um malware muito perigoso, especialmente agora que sabemos que tem funcionalidades de ataque man-in-the-middle (MITM). Isto significa que ele não só captura o tráfego que passa por um router comprometido, incluindo a palavra-passe que utiliza para fazer login na sua conta bancária on-line, como também pode modificar as informações enviadas, por exemplo, a mostrar um saldo incorreto na sua conta.

Nota importante para enterprises

Os relatos que nos chegam deste malware muito poderoso e muito desagradável referem que os dispositivos “em risco” são routers localizados em escritórios domésticos e pequenos escritórios. No entanto, isto não quer dizer que as empresas “grandes” podem estar descansadas. A experiência diz-nos que provavelmente haverá alguns desses dispositivos nas redes da maioria das grandes empresas ou ligados a essas redes. Eles podem fazer parte da “sombra” que afeta todas as empresas ou podem estar instaladas em filiais, onde as políticas que proíbem o uso de tais dispositivos não são bem aplicadas.

Existe ainda a questão dos funcionários trabalharem remotamente, ligando-se à rede interna, fazendo login nos servidores para manutenção e assim por diante. Agora seria um bom momento para a equipa responsável pela segurança informática estudar as informações alusivas ao VPNFilter e determinar se isto representa um risco para a confidencialidade e integridade dessas ligações.

Dispositivos em risco

Asus: RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, RT-N66U

D-Link: DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, DSR-1000N

Huawei: HG8245

Linksys: E1200,  E2500, E3000, E3200, E4200, RV082,  WRVS4400N

Mikrotik: CCR1009,  CCR1016,  CCR1036,  CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, STX5

Netgear: DG834, DGN1000,  DGN2200, DGN3500, FVS318N, MBRN3000,  R6400,  R7000,  R8000,  WNR1000,  WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, UTM50

QNAP: TS251, TS439 Pro, Other QNAP NAS devices running QTS software

TP-Link: R600VPN, TL-WR741ND, TL-WR841N

Ubiquiti: NSM2, PBE M5

Fonte

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

six − 2 =