Cisco conferma la falla zero-day 'pro-NSA' nei propri firewall: fix in arrivo

Cisco System ha confermato l'esistenza di un malware legato alla National Security Agency diffuso pubblicamente (e indirettamente) negli scorsi giorni all'interno del leak di Shadow Brokers. La falla ha esposto milioni di dispositivi e utenti per anni su ogni versione del firewall Adaptive Security Appliance, e poteva consentire ad un eventuale aggressore l'accesso al pannello di controllo senza che fosse a conoscenza delle credenziali per effettuare il log-in (nome utente e password). Ne abbiamo già parlato qui.

"Si tratta di una vulnerabilità critica anche se richiede l'accesso alla rete interna o di gestione", hanno dichiarato gli esperti alla stampa internazionale. Per eseguire l'exploit infatti è necessario controllare un computer su cui in precedenza è stato ottenuto l'accesso al firewall, o il firewall deve essere stato impostato in maniera erronea in modo da omettere alcune feature per aumentare la sicurezza. "Non è difficile immaginare che per la NSA fosse semplice ottenere l'accesso ad un dispositivo all'interno di una grande rete interna di un'azienda".

La vulnerabilità è stata contrassegnata come ad alto rischio potenziale dalla stessa Cisco ed è probabilmente la più minacciosa fra quelle rilasciate nel leak dello scorso week-end. Con il rilascio di un codice sviluppato ad-hoc per attaccare la vulnerabilità dei firewall Cisco le aggressioni possono essere mosse da una base di hacker ancora più ampia. La falla è presente nell'implementazione della compagnia del Simple Network Management Protocol, e l'exploit è possibile attraverso l'engine dietro "ExtraBacon", uno dei codici d'attacco inclusi nel leak.

Un post pubblicato lo scorso giovedì mostra come ExtraBacon possa consentire ad un utente non autenticato di prendere il pieno controllo dei firewall Adaptive Security Appliance, una possibilità che ha consentito al governo USA di sfruttare i firewall Cisco per le proprie attività di spionaggio almeno dal 2013. La patch è nota come CVE-2016-6366 e non è ancora stata risolta definitivamente: per il momento la compagnia ha rilasciato dei software che possono rilevare l'exploit ed eventualmente bloccarlo prima che l'aggressore prenda il controllo delle reti vulnerabili.

Un altro modo per aggirare il problema è disattivare interamente l'opzione Simple Network Management Protocol (SNMP), ma una patch ufficiale dovrebbe arrivare "nel prossimo futuro".

Cisco ha dichiarato inoltre la presenza di un altro codice d'attacco (EpicBanana) che poteva essere sfruttato sui propri software di sicurezza. La falla, nota come CVE-2016-6367, è stata corretta nel 2011 ma il fix non è mai stato reso pubblico per via della scarsa pericolosità dell'exploit. Questo avrebbe permesso ad un aggressore locale non autenticato di creare le condizioni per un DoS (Denial of Service) o eseguire codice arbitrario su un sistema collegato.