22/08/2016 di Redazione

Cisco, ecco la falla che ha permesso le scorribande della Nsa

Gli strumenti utilizzati dall’Equation Group della National Security Agency statunitense (pubblicati sul Web da hacker concorrenti) hanno sfruttato un bug dei firewall Pix del vendor californiano relativo allo scambio di chiavi su Internet. In questo modo

immagine.jpg

A distanza di qualche giorno dal caos generato dallo spionaggio (confermato) della National Security Agency statunitense su numerosi utilizzatori delle soluzioni di firewalling di Cisco e Fortinet, è possibile trarre alcune conclusioni sulle tattiche e sugli strumenti utilizzati dalla Nsa per portare a termine la propria missione. Missione che, va detto, potrebbe essere durata addirittura quasi un decennio: con buona pace della privacy. La scorsa settimana Cisco e Fortinet avevano confermato che una serie di prodotti, tra cui i firewall della serie Pix prodotti tra il 2002 e il 2009 e poi non più supportati dal vendor, erano vulnerabili ad attacchi condotti da remoto. La notizia era emersa dopo che un gruppo di hacker chiamato “Shadow Brokers” era entrato in possesso di alcuni tool utilizzati dal team Equation Group, riconducibile alla Nsa, per operazioni di spionaggio super segrete. Gli strumenti sono poi stati messi a disposizione di chiunque sul Web.

Secondo il blog Musalbas, creatura dell’hacker di origine irachena Mustafa Al-Bassam, al cuore della “strumentazione” dell’Equation Group si trova il tool Benigncertain, che ha sfruttato per anni una falla presente nell’implementazione del protocollo Internet key exchange (scambio di chiavi su Internet, Ike) sui firewall Pix di Cisco. In questo modo la Nsa è riuscita a rilevare anche il traffico passato sulle reti virtuali private (Vpn) dei clienti dell’azienda californiana.

Oltre al monitoraggio del traffico, il bug ha permesso anche all’agenzia statunitense di ottenere il pieno accesso ai sistemi vulnerabili identificandosi come utente remoto. Le scoperte di Al-Bassam sono poi state confermate da altri tre ricercatori indipendenti, come sottolineato dalla testata Arstechnica. Ma il fatto che Cisco abbia ormai interrotto il supporto per i firewall Pix non risolve il problema?

 

 

Non proprio. Secondo il motore di ricerca Shodan, nato per indicizzare dispositivi connessi alla Rete come server e router, ancora oggi ben 15mila reti in tutto il mondo si affidano a Pix, soprattutto in Russia, negli Stati Uniti e in Australia. L’exploit, che grazie alla pubblicazione online degli strumenti può essere condotto ora potenzialmente da chiunque, funziona con le versioni dalla 5.3(9) alla 6.3(5) del software di Cisco. Il vendor ha poi spiegato come le più recenti soluzioni Asa (Adaptive Security Appliance) non possono essere colpite dalla falla.

Continua quindi a far discutere l’attività della National Security Agency, le cui operazioni di spionaggio erano state portate alla luce (con tutta la loro devastante potenza mediatica) nel 2013 dall’ex tecnico della Cia Edward Snowden. Secondo lo stesso Snowden la pubblicazione degli strumenti di hackeraggio da parte degli “Shadow Brokers” sarebbe da ricondurre alla Russia e alle attività di spionaggio condotte nel corso dell’ultimo anno da Mosca sul Partito Democratico statunitense. La guerra fredda continua, almeno sul lato cibernetico.

 

ARTICOLI CORRELATI