Il Federal Bureau of Investigation (FBI), la National Security Agency (NSA), l’US Cyber Command e i partner internazionali hanno pubblicato un avviso congiunto di sicurezza informatica per mettere in guardia sull’abuso da parte di gruppi sponsorizzati dallo stato russo di router compromessi della serie Ubiquiti EdgeRouter per operazioni malevole a livello globale.
Gli EdgeRouter
Gli EdgeRouter di Ubiquiti hanno un sistema operativo basato su Linux di facile utilizzo e sono spesso forniti con credenziali standard e protezioni firewall limitate e non prevedono aggiornamenti automatici del firmware. Per tutti questi motivi sono diventati molto popolari come obiettivi preferiti del cybercrime.
Attività criminali già censite
Secondo il rapporto il gruppo noto come APT28, Fancy Bear e Forest Blizzard avrebbe utilizzato questi router per raccogliere credenziali, digest NTLMv2, ospitare pagine di spear-phishing e realizzare una vasta botnet recentemente smantellata. Già nel 2022, APT28 avrebbe utilizzato gli EdgeRouter per operazioni contro governi, organizzazioni militari di tutto il mondo prendendo di mira in particolare Repubblica Ceca, Italia, Lituania, Giordania, Montenegro, Polonia, Slovacchia, Turchia, Ucraina, Emirati Arabi Uniti e Stati Uniti. Nel 2023, gli stessi autori avrebbbero utilizzato anche script Python per raccogliere credenziali webmail e caricarle su router Ubiquiti compromessi tramite scripting cross-site e campagne di spear-phishing e browser-in-the-browser. Sarebbe stato sfruttato anche lo zero-day CVE-2023-23397 per facilitare le fughe di credenziali NTMLv2.
Possibili mitigazioni
Tutti i proprietari dei dispositivi in oggetto dovrebbero adottare delle azioni correttive per prevenire e rimediare a compromissioni simili.
Poiché il riavvio di un EdgeRouter non rimuove la compromissione qualora presente, l’FBI e i suoi partner consigliano di:
1. Eseguire un reset di fabbrica dell’hardware per ripulire i file system dai file dannosi,
2. Aggiornare alla versione più recente del firmware,
3. Modificare eventuali nomi utente e password predefiniti
4. Implementare regole firewall strategiche sulle interfacce lato WAN per prevenire l’esposizione dei servizi di gestione remota.
Per quanto riguarda il difetto CVE-2023-23397, l’avviso precisa che l’aggiornamento di Microsoft Outlook attenua la vulnerabilità.
