Individuare una vulnerabilità non significa risolverla

È possibile sfruttare una vulnerabilità “teorica”?

Le notizie che riguardano lo sfruttamento di vulnerabilità informatiche sono ormai all’ordine del giorno. La gente ne parla su Internet, gli sviluppatori pubblicano le patch e ritorna la calma. Potrebbe quindi sembrare che tutto vada bene e che il problema sia risolto. E invece non è così. Non tutti gli amministratori installano gli aggiornamenti, soprattutto quando riguardano i software che interessano la rete: l’aggiornamento implica un bello sforzo.

Alcuni amministratori di sistema non pensano che l’azienda dove lavorano possa essere un obiettivo dei cybercriminali. Altri vanno alla ricerca nei propri sistemi della frase magica “nessun segnale di vulnerabilità sfruttate in the wild” per poi rilassarsi, pensando che si tratta solo di una vulnerabilità teorica.

Lo scorso anno sono state segnalate diverse gravi vulnerabilità negli apparecchi Cisco; tra queste c’erano le vulnerabilità nel protocollo SNMP dell’esecuzione del codice in remoto nei sistemi operativi Cisco IOS e IOS XE (advisory ID: cisco-sa-20170629-snmp) che consentivano a un intruso di prendere il controllo completo del sistema. Avevano solamente bisogno di una stringa di comunità di sola lettura del protocollo SNMP (una specie di username e password) del sistema d’interesse. Il problema è noto da luglio 2017 e Cisco, che prende sempre in grande considerazione la questione delle vulnerabilità,  lo ha risolto prontamente, perciò non è stato individuato nessun tentativo di sfruttare questa falla.

Il nostro collega Artem Kondratenko, esperto in test di penetrazione, ha effettuato un test esterno a ha individuato un router Cisco con la stringa di comunità di SNMP di default. Ha poi deciso di indagare sulla sua eventuale pericolosità e si è proposto un obiettivo: accedere alla rete interna attraverso il  router. La scoperta di Kondratenko non è stata l’unica: Shodan ha individuato 3.313 dispositivi dello stesso modello con la stringa di comunità di default.

Ma mettiamo da parte i dettagli tecnici; se volete maggiori informazioni su questa ricerca, potete dare un’occhiata alla presentazione di Kondratenko al Chaos Communication Congress. Sottolineiamo comunque il risultato finale della ricerca, ovvero che si può sfruttare questa vulnerabilità per ottenere accesso al sistema con privilegi di livello 15, i più alti negli IOS shell di Cisco. Sebbene questa vulnerabilità non sia ancora stata sfruttata (per il momento), non è saggio ignorare questo problema. In sole quattro settimane Kondratenko ha scoperto il dispositivo vulnerabile e ha creato una proof of concept per sfruttare la vulnerabilità cisco-sa-20170629-snmp.

Se volete essere sicuri che il vostro router non sia la prima vittima di questa vulnerabilità, sarebbe meglio:

1. Assicurarsi che le apparecchiature di rete siano adeguatamente aggiornate;

2. Non utilizzare una stringa di comunità default su router connessi alla rete esterna (da evitare proprio in generale);

3. Verificare la fine del ciclo vita dei dispositivi di rete in possesso. Se tali dispositivi vanno fuori produzione, è poco probabile che le case produttrici pubblichino aggiornamenti che li riguardino.

Consigli