La vulnerabilità CVE-2022-4985 interessa i dispositivi Vodafone H500s (hardware Sercomm VFH500) con firmware v3.5.10 e consente di ottenere la password WiFi senza autenticazione. Bastano poche istruzioni tecniche per un malintenzionato per accedere alla rete senza permesso, rischiando di compromettere tutti i dati e i dispositivi collegati.
Cosa fare subito:
- Aggiorna il firmware del router, se disponibile.
- Cambia subito la password WiFi e quella di amministrazione del router.
- Verifica eventuali accessi non autorizzati alla tua rete e scollega dispositivi sospetti.
- Abilita, se previsto, le funzioni di firewall e restrizioni d’accesso nel router.
Introduzione: la minaccia in dettaglio
Nel mondo della sicurezza informatica, i dispositivi di rete domestici rappresentano spesso l’anello debole. I router sono bersagli ideali per attacchi che puntano a sottrarre dati sensibili e compromettere la sicurezza della rete privata. A fine 2025, è emersa una falla particolarmente grave: la vulnerabilità catalogata come CVE-2022-4985 riguarda i router Vodafone H500s (Sercomm VFH500), tra i modelli più diffusi presso gli utenti italiani e internazionali.
La criticità consiste nell’esposizione della password WiFi attraverso un endpoint HTTP pubblico e non autenticato. In altre parole, chiunque sia all’interno della rete (o abbia visibilità dall’esterno grazie a configurazioni particolari o accessi remoti) può recuperare la password semplicemente inviando una richiesta specifica al router.
Come funziona l’attacco
Il cuore del problema sta nel modo in cui il firmware v3.5.10 dei Vodafone H500s gestisce alcune richieste HTTP dirette a un preciso indirizzo interno del router: /data/activation.json. In assenza di qualunque controllo di autenticazione, una richiesta GET opportunamente formata (con specifici header e cookie, facilmente deducibili analizzando il traffico di rete o provando script standard) restituisce un documento JSON contenente, testualmente, il campo wifi_password.
Chiunque intercetti il traffico o acceda con un browser a quell’URL, ottenendo la risposta dal router, può leggere subito la password WiFi configurata. Non occorrono credenziali, accessi privilegiati né alcuna interazione con la console amministrativa del router.
Perché è pericoloso?
Le conseguenze sono molteplici e gravi:
- Un malintenzionato può collegarsi alla rete WiFi senza permesso, sfruttando la password ottenuta
- Può monitorare, manipolare o rubare traffico dati degli altri dispositivi connessi (laptop, smartphone, telecamere IP, smart TV, dispositivi IoT)
- Un accesso non autorizzato può essere il primo passo per installare malware, compromettere dati sensibili, o attaccare altri dispositivi collegati alla stessa rete
- Può verificarsi una perdita di riservatezza, con informazioni private e credenziali di altri servizi facilmente intercettabili
Impatto della vulnerabilità
Secondo la classificazione internazionale, CVE-2022-4985 sfrutta una esposizione di informazioni sensibili verso una sfera di controllo non autorizzata (CWE-497). Il punteggio CVSS (un parametro usato per valutare la gravità) della vulnerabilità è 8.7 su 10, definendo quindi il problema come “alto rischio”. Analizzando i parametri tecnici:
- Attack Complexity: bassa (l’esecuzione dell’attacco richiede pochi passaggi tecnici, non serve interazione da parte della vittima)
- Privilegi richiesti: nessuno (l’attaccante non deve avere accesso amministrativo)
- Impatto sulla confidenzialità: elevato (la password WiFi viene esposta)
- Impatto su integrità e disponibilità: trascurabile, poiché non c’è modifica diretta ai dati o servizi del router
La semplicità dell’attacco abbassata dalla totale assenza di autenticazione accentua la pericolosità della minaccia, che può essere sfruttata anche da utenti inesperti tramite semplici script già pubblicati in rete.
Possibilità di sfruttamento e stato della diffusione
Ad oggi non risultano pubblicati proof-of-concept pienamente automatizzati, ma il metodo d’attacco è talmente semplice che potrebbe essere replicato in pochi minuti da chiunque abbia competenze di base nella navigazione HTTP e nell’analisi dei pacchetti.
Non sono, per ora, noti attacchi su larga scala, ma data la popolarità dei router Vodafone H500s e la semplicità dello sfruttamento, il rischio che la falla sia già sfruttata a livello locale (vicinato, ambienti pubblici, piccolo ufficio) è concreto e preoccupante.
Misure di mitigazione e consigli approfonditi
Molti utenti domestici tendono a ignorare gli aggiornamenti dei router, ma questa vulnerabilità impone attenzione immediata. Purtroppo, nel caso specifico del firmware Vodafone H500s v3.5.10, al momento non risulta disponibile una patch ufficiale. Tuttavia:
Azioni protettive consigliate:
- Contattare l’assistenza tecnica Vodafone per verificare la disponibilità di firmware aggiornati (o chiederne l’emissione urgente se non ancora rilasciati)
- Cambiare la password WiFi immediatamente, inserendone una lunga e complessa. Evitare parole comuni o riferimenti personali
- Disabilitare, ove possibile, l’accesso remoto al pannello di amministrazione del router e assicurarsi che la porta WAN non risponda a richieste HTTP di gestione
- Cambiare la password di amministrazione del router, rendendola diversa da quella predefinita e difficile da indovinare
- Monitorare regolarmente la lista dei dispositivi connessi e disconnettere quelli non riconosciuti
- Se la funzionalità è prevista, limitare gli accessi WiFi tramite filtro MAC o tramite autenticazione a due fattori (WPA2 Enterprise)
- Utilizzare VPN di livello domestico o personale per cifrare il traffico più sensibile, almeno nei periodi di rischio maggiore
In caso di sospetti di compromissione (es: rallentamenti insoliti, presenze di dispositivi non riconosciuti, richieste di autenticazione anomale), procedere al reset hardware del router e, se necessario, valutare la sostituzione del dispositivo con un modello più sicuro e aggiornato.
Oltre il singolo router: il valore della sicurezza a livello domestico e aziendale
La vulnerabilità CVE-2022-4985 rappresenta un caso emblematico della fragilità di molti dispositivi elettronici di largo consumo. Gli utenti tendono a trascurare la sicurezza dei router, spesso considerati semplici “scatole nere” da installare e dimenticare. Al contrario, questi dispositivi custodiscono e gestiscono il traffico privato di intere famiglie e piccole imprese: basta una debolezza come questa per mettere a rischio dati bancari, login a servizi cloud, sistemi di videosorveglianza, e molto altro.
La cultura della sicurezza informatica dovrebbe prevedere:
- Verifica e aggiornamento periodico dei firmware di tutti i dispositivi di rete
- Cambi regolari delle password predefinite e utilizzo di passphrase robuste
- Educazione degli utenti sulle minacce legate ai dispositivi connessi (IoT)
- Segnalazione tempestiva di problemi di sicurezza al fornitore del servizio
In sintesi, la vulnerabilità CVE-2022-4985 è estremamente pericolosa per la facilità di sfruttamento e l’impatto potenziale.
Le azioni più efficaci e approfondite sono:
- Aggiornare il firmware appena disponibile
- Cambiare tutte le password legate al router
- Monitorare costantemente i dispositivi connessi
- Disabilitare accessi remoti e servizi superflui sul router
- Seguire con attenzione i bollettini di sicurezza pubblicati dal fornitore e le best practice della sicurezza informatica domestica
