Infostrada FTTH down: aggiornamento sbagliato o malware?

Da domenica 1° ottobre 2017, molti clienti Infostrada hanno cominciato a riportare un disservizio sulla loro linea Internet FTTH (Fiber-to-the-Home). Fin qui, nulla di strano: a tutti gli operatori succede, ogni tanto, che la rete smetta di funzionare per un breve periodo di tempo.

Tuttavia, il problema non è della rete di Infostrada: è dei modem. Infatti i clienti che possiedono un modem fibra Nokia-Alcatel-Lucent — il modello preciso dovrebbe essere il G-240W-8 — riferiscono su Twitter che il dispositivo è bloccato, non risponde né su Ethernet né su Wi-Fi e non reagisce nemmeno agli hard reset.

Il modem sta acceso come un albero di Natale, con questa configurazione di luci fisse.

22290788_10155740283922389_241784468_o

Emergono spontanee due domande:

  1. Il modem è recuperabile oppure è bricked (ossia, ha le stesse funzionalità di un mattone)?
  2. Per quale motivo i modem dei clienti Infostrada sono ridotti in questo stato?

La risposta alla domanda n. 1 sembra essere: no, i modem non sono recuperabili.

Infostrada — come tutti gli operatori che danno i modem in comodato d’uso agli utenti — dispone di un’interfaccia di gestione remota per controllare lo stato della linea, configurare l’apparecchio ed installare degli aggiornamenti firmware senza dover intervenire fisicamente a casa dell’abbonato. Se fosse stato possibile ripristinare i modem in questo modo, Infostrada l’avrebbe fatto: sarebbe stata la soluzione più rapida ed economica.

Tuttavia, i modem sono completamente “fritti” e non rispondono neanche da remoto: Infostrada ha comunicato ai clienti che è necessario sostituirli:

Un danno economico notevole per l’azienda, che dovrà pagare sia i nuovi modem sia le uscite dei tecnici per installarli. L’installazione dei modem fibra, infatti, non può essere effettuata con semplicità dagli utenti stessi.

Ma per quale motivo i modem sono ridotti in questo stato?

La prima ipotesi è che si tratti di un aggiornamento firmware sbagliato, che impedisce ai modem di avviarsi e connettersi. In questo commento, un utente su Disqus riporta (non sappiamo con quale attendibilità) che Nokia ogni sabato alle 19:29 rilascia un aggiornamento firmware che viene installato automaticamente su tutti i suoi modem connessi.

Questa ipotesi sembra essere confermata dal commento di un utente su HW Upgrade: il modem nuovo a lui consegnato da Infostrada ha un firmware diverso e aggiornato. Inoltre il fatto che il disservizio si sia manifestato allo stesso tempo per un gran numero di utenti è compatibile con l’ipotesi di un aggiornamento firmware installato automaticamente.

D’altro canto, mi viene difficile pensare che Wind permetta a Nokia di aggiornare direttamente il firmware dei propri modem senza prima testare l’aggiornamento in proprio o almeno su un piccolo numero di utenti.

La seconda ipotesi è più inquietante: la colpa sarebbe di BrickerBot, un malware che mette fuori uso i dispositivi embedded vulnerabili. Il codice di BrickerBot, che consiste in poche righe di script di shell, fa le seguenti cose:

  1. scrive dati random su tutta la memoria scrivibile del dispositivo;
  2. cancella le route del modem;
  3. lo riavvia in modo da renderlo inservibile.

L’ipotesi che il disservizio di Infostrada sia stato causato da BrickerBot è stata avanzata da un utente su Disqus, che sostiene di essere l’autore di BrickerBot stesso:

Hi guys.. Sorry for not speaking Italian. The Wind modems had telnetd running on port 8023 and a default password admin/admin which gave anyone root access to them. Unfortunately the modems got bricked by malware known as ‘BrickerBot’ which wrote random data over the partitions. When Wind eventually asks customers to return the devices for a replacement you’ll want to be first in line..

(Bonny F., Disqus)

Quest’altro utente conferma che il modem di Infostrada avesse la porta telnet per l’accesso remoto aperta con credenziali admin/admin — quindi facili da indovinare — e quindi sia molto plausibile l’ipotesi di un attacco automatizzato in stile BrickerBot.

Sul forum di HW Upgrade, altri utenti confermano che persino con il firmware nuovo telnet resta aperto, e gli username e le password per accedere sono noti. No comment.

C’è anche un’ipotesi “intermedia” (fonte: forum HW Upgrade): la colpa sarebbe di un aggiornamento rilasciato in fretta e furia da Nokia per fermare i tentativi di hackeraggio (presumibilmente, di BrickerBot).

Senza un’analisi forense sui dispositivi brickati — ammesso che essa sia possibile — sarà molto difficile stabilire con certezza quale sia stata la causa del guasto dei modem. Infostrada, sul suo sito, parla di un generico “guasto tecnico su un apparato Nokia, in dotazione ad alcune migliaia di clienti Infostrada”.

Di certo sappiamo che questo disservizio rappresenta un danno enorme per le casse e per la reputazione dell’azienda, con pochi precedenti nella storia dell’Internet italiano.

Link utili

 

Annunci