Compromissioni router Aethra italiani

 

Proto: N020116. 

Con la presente Yoroi desidera comunicarLe che sono state recentemente rilevate numerose compromissioni a dispositivi modem/router Aethra che coinvolgono modelli tipicamente installati per l’erogazione di contratti di servizio Business da parte di più ISP italiani.

Gli accessi abusivi ai dispositivi in oggetto rappresentano un grande rischio per la sicurezza, reputazione e la riservatezza di organizzazioni e contenuti proprietari coinvolti in quanto l’attaccante può ottenere il controllo di uno degli snodi di rete più sensibili dell’infrastruttura aziendale.

I principali modelli di modem/router Aethra compromessi sono VegaX3 Series 4, MY2441, SV1242, SV1042 e vari dispositivi Aethra DSL all’interno dei quali sono state rilevate credenziali di amministrazione di default utilizzate da gruppi cyber-criminali per l’installazione di malware sui nodi di rete coinvolti al fine di attaccare sistemi di terze parti, mettendo a rischio la reputazione delle organizzazioni a causa della grande quantità di tentativi di attacco originata dai dispositivi compromessi.


Figura 1. Distribuzione dispositivi Aethra compromessi (oltre 10000 in Italia)


I maggiori ISP italiani che utilizzano modem/router Aethra per fornire connettività ai clienti Business risultano essere Fastweb, Albacom, BT-Italia, Clouditalia, Qcom e WIND. Nonostante parte di essi stia già operando per la risoluzione del problema, Yoroi suggerisce di verificare la presenza di credenziali di default sui dispositivi Aethra in uso e di richiederne  la riconfigurazione ai gestori se necessario.

Yoroi suggerisce inoltre di mantenere alto il livello di guardia all’interno della vostra organizzazione, di dotare le vostre organizzazioni di strumenti di sicurezza perimetrali opportuni e moderni come Next Generation Firewall, Next Generation IPS e IDS, di monitorare attivamente lo stato di sicurezza degli asset aziendali attraverso servizi di monitoraggio come MAMP (Managed Advanced Malware Protection).

Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index