È tutto reale: alcuni firewall di Cisco e di Fortinet sono potenzialmente esposti a seri attacchi hacker eseguibili anche da remoto. La notizia, confermata dalle due aziende, è parte di una spinosa questione che vede in prima linea il gruppo di cybercriminali “Shadow Brokers”. Il team, secondo le prime ricostruzioni, avrebbe stretti legami con l’Equation Group, a sua volta probabilmente riconducibile alla National Security Agency statunitense, celebre per il caso Datagate del 2013. A Ferragosto Cisco e Fortinet avevano derubricato le falle a problematica minore, ma con il passare delle ore gli esperti hanno capito che la situazione era più seria del previsto e sono corsi ai ripari. Ed entrambe le società hanno confermato che il materiale in possesso degli “Shadow Brokers” proveniva da server della Nsa: una palese indicazione che l’agenzia statunitense stava provando a penetrare i sistemi dei vendor senza avvertire i produttori.
Cisco e Fortinet hanno distribuito nuove patch per le vulnerabilità, ma l’aspetto inquietante è che i file in possesso del gruppo di hacker risalivano a un periodo compreso tra il 2010 e il 2013: questo significa che i firewall in questione sono stati seriamente esposti per almeno tre anni. Le soluzioni di Cisco appartengono alle famiglie Asa e Pix e possono essere attaccate sfruttando due vulnerabilità differenti: la prima è presente nel parser dell’interfaccia a riga di comando del software Asa e potrebbe consentire a un attaccante di scatenare un’interruzione dei servizi (Dos) da locale (tramite Telnet o Ssh, ma è obbligatorio conoscere la password) o di eseguire codice in modo arbitrario.
La falla, classificata con un codice Cvss di 6,8 su 10 e nota con il codice Epicbanana, è stata in teoria già risolta con un aggiornamento nel 2011, ma non è detto che tutti i proprietari di questi firewall abbiano installato la patch. Nel caso della seconda vulnerabilità, invece (punteggio 8,5 su 10), l’hacker dovrebbe creare pacchetti Simple Network Management Protocol (Snmp) modificati ad hoc per assumere il controllo dei dispositivi di rete sotto attacco.
Il bug è stato classificato con un punteggio maggiore perché l’incursione può essere portata anche da remoto grazie all’esecuzione arbitraria di codice. Utilizzando questa tecnica di alterazione dei pacchetti Snmp (nota con il nome di Extrabacon), un malintenzionato è in grado di evitare la richiesta di autenticazione del firewall avendo così campo libero.
La famiglia di firewall Cisco Asa
Nel caso di Fortinet a essere interessati sono invece i sistemi Fortigate. L’azienda ha spiegato che il firmware per questa famiglia di firewall, rilasciato già nel 2012, conteneva una vulnerabilità di tipo buffer overflow in un cookie di autenticazione. Anche in questo caso il rischio è elevato perché la falla, se sfruttata tramite una richiesta Http ad hoc, può risultare in una presa di controllo da remoto dei sistemi.
Il ricercatore di sicurezza Kevin Beaumont ha twittato che il baco, catalogato con un alto livello di pericolosità, sarebbe molto semplice da sfruttare. I firmware Fos dei Fortigate colpiti dalla falla sono le versioni inferiori alla 4.x, mentre le release dalla 5 in poi non sono affette. Secondo Forbes le operazioni degli “Shadow Brokers” avrebbero coinvolto anche Juniper e Topsec, ma le due aziende al momento non hanno al momento confermato nessun tipo di vulnerabilità conosciuta.