Vulnerabilità nell’Alice Gate AGPF – “CSRF Reconfiguration Vulnerability”

Una nuova ed imponente vulnerabilità affligge i router di Telecom Italia, marchiati Alice Gate AGPF, a scoprire la nuova falla è stato Emilio Pinna del team BackBox.

La vulnerabilità permette ad un utente malintenzionato di acquisire il pieno controllo del router in maniera permanente con gravi conseguenza sulla privacy dell’utente, una volta acquisito l’accesso al router l’attaccante potrà:

  • Intercettare i siti visitati dall’utente e redirezione verso siti copia fasulli per rubare credenziali di mail, social network, home banking, etc modificando i record del DNS;
  • Ascoltare le chiamate telefoniche, telefoni analogici compresi, sostituendo l’indirizzo del server VoIP ufficiale con quello di uno preparato per le intercettazioni;
  • Instradare tutto il traffico verso una macchina dell’attaccante allo scopo di analizzare il traffico e sottrarre dati sensibili;
  • Aprire dei pannelli di controllo del router verso internet con il quale l’attaccante mantiene l’accesso remoto al router nel tempo, con una interfaccia web esposta verso internet e tracciata via dns dinamico.

Secondo una prima stima approssimativa sui 9 milioni di clienti di Telecom Italia il 25% è in possesso del modem vulnerabile, circa 2 milioni di clienti sono vulnerabili all’attacco mettendo gravemente a rischio la privacy degli utenti.

È possibile ottenere il pieno controllo del router  grazie alla presenza di due vulnerabilità nel software che opportunamente sfruttate in conseguenza danno accesso ai parametri interni, in primis il parametro HTTP stack_set della pagina admin.cgi dell’interfaccia web permette di riscrivere qualsiasi parte della configurazione interna del router (vulnerabilità comunemente sfruttata dal legittimo proprietario del router per sbloccare funzionalità nascoste). Inoltre il router di Alice non offre nessuna protezione contro gli attacchi CSRF: pubblicando una semplice pagina appositamente preparata si può forzare il browser dell’utente che la visita ad effettuare una richiesta HTTP post verso l’interfaccia web del router.

In pratica per sferrare l’attacco è necessario effettuare una particolare richiesta HTTP all’URL http://192.168.1.1/admin.cgi con la quale è possibile riscrivere completamente la configurazione interna del router, ipotizzando un attacco su larga scala un utente malintenzionato potrebbe pubblicare una porzione di codice HTML in una pagina internet molto trafficata e in poche ore trovarsi una botnet di Router a propria disposizione.

Emilio ha reso disponibile una pagina  per verificare autonomamente se il proprio router Alice ADSL è vulnerabile, inoltre per chi volesse approfondire gli aspetti tecnici è disponibile la Full Disclosure.

  • Paulus

    Come controllare se non si è stati gia attaccati?
    Resettando il router eventuali impostazioni “nocive” se ne dovrebbero andare giusto?

  • epinna

    Si, facendo un hard reset del router la configurazione dovrebbe resettarsi. Nel dubbio: abilita il menù avanzato usando il dimostratore, vai in “Advanced > Configuration” e controlla che i parametri principali siano ok: DNS entry, admin interface e telnet solo esposti verso l’interno, etc.

    • Ciao Emilio,

      vorrei chiederti se è possibile riattivare le pagine sul tuo sito web per la vulnerabilità del router… 

      Grazie,
      Ciao!!

      • epinna

        Ciao Diego,
        ho avuto una gentile richiesta da parte di Telecom per oscurare temporaneamente le pagine in attesa che rilascino una fix (che dovrebbero implementare a breve). In rete trovi comunque copie del mio advisory.

        Grazie a te 🙂
        Emilio