Inizialmente derubricate da Cisco e Fortinet a “problematiche minori”, in queste ore si sta diffondendo la notizia della scoperta di alcune vulnerabilità che interessano molteplici prodotti commercializzati dalle due aziende.
Coloro che hanno fornito i dettagli tecnici delle vulnerabilità in questione si sono autoproclamati hacker assoldati dalla NSA statunitense, l’agenzia governativa che si occupa di sicurezza nazionale e che è stata più volte – dopo le rivelazioni di Edward Snowden – nell’occhio del ciclone per l’utilizzo di strumenti di monitoraggio e tecnologie di spionaggio ritenute aggressive, invasive e irrispettose.
Verso diversi modelli di firewall e apparati di rete a marchio Cisco e Fortigate risulta oggi possibile lanciare attacchi mirati che, grazie a vulnerabilità di tipo buffer overflow, consentono di modificare la configurazione dei dispositivi e installare malware o “componenti spia” per il monitoraggio del traffico in transito all’insaputa degli amministratori.
Nel caso dei prodotti Cisco, l’aggressore deve semplicemente creare pacchetti dati SNMP ( Simple Network Management Protocol) modificati “ad arte” per assumere il controllo dell’altrui device.
Usando questa tecnica (battezzata EXTRABACON), come mostrato da un ricercatore indipendente (vedere queste pagine), è possibile “dribblare” la richiesta di autenticazione.
Una seconda vulnerabilità è stata risolta nel 2011 ma interessa tutti quegli utenti che ad oggi non hanno ancora aggiornato il firmware dei loro dispositivi. È meno grave, poi, perché l’aggressore – collegandosi via TELNET o SSH – deve conoscere la password (l’analisi dettagliata di Cisco è pubblicata a questo indirizzo).
Per quanto riguarda i prodotti Fortinet FortiGate, invece, afflitti dal problema sono i dispositivi che utilizzano ancora la release 4.0 del firmware.
La vulnerabilità è davvero semplice da sfruttare, come conferma il ricercatore Kevin Beaumont e consiste nella connessione al pannello di amministrazione web ed all’utilizzo di un cookie di autenticazione malformato.
The Fortinet exploit in #EquationGroup works. Really simple thing they exploited. Needs web mgmt access.
— Kevin Beaumont (@GossiTheDog) 16 agosto 2016
Il problema è stato confermato da Fortinet che ha pubblicato un advisory riassuntivo (consultabile in questa pagina).
La soluzione consiste nell’aggiornare il firmware dei dispositivi di rete FortiGate alla versione 5.0, esente da qualunque problema di sicura noto. La lacuna di sicurezza non è comunque presente nelle release 4.1.11, 4.2.13 e 4.3.9 del firmware.
Come conferma Beaumont, comunque, chi avesse correttamente bloccato l’accesso pubblico all’interfaccia di amministrazione dei device FortiGate, non corre alcun rischio di aggressione.
La restrizione del collegamento all’interfaccia di autenticazione dei FortiGate ai propri indirizzi IP statici è, ad esempio, un’ottima soluzione per proteggersi.
How corporate security works:
A) buy a firewall B) add a rule allowing all traffic C) the end— Kevin Beaumont (@GossiTheDog) 15 maggio 2016