Router Netgear vulnerabili, gli esperti consigliano di spegnerli

Scoperta una nuova falla facilissima da sfruttare e ancora senza correzione.



[ZEUS News - www.zeusnews.it - 14-12-2016]

falla router netgear

Se usate un router Netgear per la vostra rete domestica, è tempo di iniziare a preoccuparsi.

Alcuni ricercatori hanno infatti scoperto che in diversi modelli è presente una vulnerabilità che è facilissima da sfruttare e permette di inviare al router comandi arbitrari.

Netgear, che ha confermato l'esistenza del problema, afferma che i router vulnerabili sono i modelli R7000, R6400 e R8000 ma pare che anche i modelli R7000P, R7500, R7800, R8500 e R9000 siano affetti dal problema.

La pericolosità della falla, che pare essere legata all'interfaccia web di configurazione, sta nella facilità con cui è possibile sfruttarla: basta che l'utente di un qualsiasi dispositivo connesso al router clicchi su un link web appositamente realizzato, che può essere mascherato in maniera tale da sembrare assolutamente innocuo.

Il link in questione invia al router un comando che viene eseguito come root, dunque con il maggior numero di privilegi possibile, e senza passare attraverso alcun controllo di sicurezza. Inoltre, la vulnerabilità può essere sfruttata anche se l'interfaccia web non è accessibile da Internet.

Sondaggio
Quali sono i rischi maggiori del cloud computing?
Distributed Denial of Service (DDoS): cresce l'impatto dei tempi di indisponibilità di un sito web, che possono costare perdite di milioni di euro in termini di introiti, produttività e immagine aziendale.
Frode: perpetrata da malintenzionati con l'obiettivo di trafugare i dati di un sito e creare storefront illegittimi, o da truffatori che intendono impadronirsi di numeri di carte di credito, la frode tende a colpire - prima o poi - tutte le aziende.
Violazione dei dati: le aziende tendono a consolidare i dati nelle applicazioni web (dati delle carte di credito ma anche di intellectual property, ad esempio); gli attacchi informatici bersagliano i siti e le infrastrutture che le supportano.
Malware del desktop: un malintenzionato riesce ad accedere a un desktop aziendale, approfittandone per attaccare i fornitori o le risorse interne o per visualizzare dati protetti. Come il trojan Zeus, che prende il controllo del browser dell'utente.
Tecnologie dirompenti: pur non essendo minacce nel senso stretto del termine, tecnologie come le applicazioni mobile e il trend del BYOD (bring-your-own-device) stanno cambiando le regole a cui le aziende si sono attenute sino a oggi.

Mostra i risultati (1416 voti)
Leggi i commenti (6)

Nell'attesa che Netgear rilasci una soluzione, il CERT suggerisce di non adoperare i prodotti vulnerabili.

Chi però non potesse spegnere il proprio router può tentare una via alternativa per proteggersi: può infatti sfruttare la medesima falla per disattivare il server web interno del router (quello che gestisce l'interfaccia di configurazione), neutralizzando in tal modo la minaccia. Così facendo non sarà più possibile modificare i parametri, ma il router continuerà a funzionare.

Tutto ciò che bisogna fare è cliccare su un link del tipo http://[indirizzo-del-router]/cgi-bin/;killall$IFS'httpd': ovviamente, la porzione [indirizzo-del-router] va sostituita con l'indirizzo IP del router all'interno della rete.

Questo sistema funziona sino a che il router non viene riavviato: dopo il riavvio, infatti, il server web interno viene automaticamente riattivato, e se si vuole ripristinare la protezione occorre disattivarlo nuovamente.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (ultimi 5 di 7)

E questo non è OT ma un'informazione utile a chi possiede questi router. Qualche volta anche le aziende di prodotti informatici hanno un minimo di correttezza (dovuta). Tipicamente le più piccole o specializzate. Leggi tutto
23-12-2016 13:57

Mai partito, sono ancora qui purtroppo, a spiegare che anche il mio era un paradosso. Leggi tutto
23-12-2016 13:50

In effetti, ad oggi, Netgear ha modificato l'elenco dei router affetti dal bug che sono: R6250* R6400*** R6700* R6900* R7000*** R7100LG* R7300DST* R7900* R8000*** D6220* D6400* In ogni caso sono già disponibili i FW aggiornati definitivi - per i dispositivi contrassegnati da * - o in versione beta per i dispositivi contrassegnati da... Leggi tutto
18-12-2016 17:44

{vico salerno}
@ GipsytheKid - direi che la cialtronite è endemica nella nostra specie, inclusi quindi i commentatori del forum, me compreso, anche se questo porta ad un interessante paradosso. Da cui deriva: @ rey042008 - davvero ti sconcerti per una cosa che tutti, intorno a te, vedono in azione 24/7, 365 giorni all'anno, e che ci ha... Leggi tutto
16-12-2016 17:18

OT, dato che i politici sono un'espressione del popolo che li vota, la conclusione è perlomento sconcertante: la Terra è abitata da 7+ miliardi di cialtroni o potenziali tali? Extraterrestre, portami via.... Leggi tutto
15-12-2016 12:50

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Quale di questi dispositivi degni di un film di fantascienza ma già esistenti vorresti avere?
Erascan: un cancellino per lavagne bianche in grado di effettuare una scansione con OCR di tutto ciò che cancella.
Tamaggo Ibi: una videocamera con lente circolare in grado di scattare foto a 360 gradi.
No More Woof: legge le onde cerebrali dei cani e traduce i pensieri in linguaggio umano.
Il drone per le consegne Amazon Prime Air: consegnerà i pacchi volando, rendendo obsoleti i corrieri.
WAT: la lampada alimentata ad acqua.
Transparent TV: grazie alla tecnologia TOLED (LED Organici Trasparenti) è dotato di uno schermo praticamente invisibile.
Electrolux Wirio, la cucina trasportabile composta da quattro diversi elementi, per cucinare e tenere in caldo i cibi.
Touch Hear, per toccare con un dito una parola stampata e ascoltare la pronuncia e il significato.
Immersed Senses, una maschera per sub che estrae ossigeno dall'acqua ed è dotata di schermo per mostrare informazioni utili.
La maniglia che si sterilizza da sola grazie a una lampada integrata a raggi ultravioletti.
Heart Rate Monitor Earphone, gli auricolari che rilevano il battito cardiaco e il consumo di ossigeno.
Voyce, il collare per cani che misura il battito cardiaco e il ritrmo respiratorio, conta le calorie e indica se l'animale non fa abbastanza esercizio.
Makerbot Z18, una stampante 3D che funge da replicatore per oggetti voluminosi.

Mostra i risultati (1868 voti)
Settembre 2025
Poste Italiane, i dati di un milione di utenti nel dark web. L'azienda: "Non ci hanno attaccati"
Windows 11, lo speed test si integra nella barra: misura velocità di up/download e latenze
ISEE, titoli di studio e certificati arrivano su IT Wallet. Il portafoglio digitale si espande
Microsoft contro ValueLicensing: fine delle licenze di Windows e Office a prezzi stracciati?
Il web aperto è ufficialmente in crisi: lo ammette pure Google. La colpa è anche della IA
Intelligenza artificiale per le automobili, licenziati 54 ricercatori a Torino
Dolcificanti a zero calorie e declino cognitivo: una ricerca brasiliana scopre un preoccupante legame
WinToUSB trasforma una chiavetta USB in un sistema Windows perfettamente funzionante
Meta accede a tutto il rullino fotografico senza permesso. Ma disattivare si può: ecco come
Agosto 2025
Google, stop all'obbligo di usare Gmail per gli account Android
Browser IA, l'allarme di Malwarebytes: ingannare gli assistenti e rubare dati è fin troppo semplice
Lo script che estende gli aggiornamenti di sicurezza di Windows 10 anche senza account Microsoft
La Danimarca saluta la posta cartacea: la consegna delle lettere terminerà alla fine dell'anno
PayPal, allarme sicurezza: i dati di 15,8 milioni di account in vendita sul dark web
Volkswagen, microtransazioni nelle auto: per utilizzare tutti i cavalli bisogna abbonarsi
Tutti gli Arretrati
Accadde oggi - 18 settembre


web metrics