It-Network-Switch-Ethernet-Data-Processing-red
adv

Una nuova minaccia per i router CISCO classe Small Business RV320 e RV325 sfrutta le debolezze del firmware per rubare dati ed eseguire codice.

Il fatto

La tecnica è consolidata: trovare una vulnerabilità per attingere ad informazioni sensibili. Il passo successivo, possibile grazie ad ulteriori vulnerabilità, è impiegare tali informazioni per eseguire codice dal router stesso. La manomissione del router è un tema caldo perché esso rappresenta l’interfaccia delle reti aziendali e domestiche da e verso Internet. Tutti i nostri dati passano di lì e, inoltre, i router compromessi possono essere usati come ripetitori per botnet, danneggiando tutta la rete.
Nei router CISCO Small Business RV320 ed RV325 questo è stato possibile a causa di una coppia di vulnerabilità scoperte nel sistema web di gestione del dispositivo.

La scoperta

La società RedTeam Pentesting è l’autrice di ambedue le scoperte, gli stessi ricercatori hanno realizzato e pubblicato delle proof of concept (test per provare la fattibilità) che mostrano come sfruttare le falle.

Information Disclosure

Questa è la vulnerabilità che riguarda l’acquisizione di dati. Essa è legata ad un programma CGI (Common Gateway Interface). Tali programmi servono a processare lato web-server (presente sempre sul router) i dati inviati dall’utente tramite interfaccia web. A causa di un accesso improprio, il programma /cgi-bin/config.exp (accessibile senza necessità di autenticazione) può essere usato per esportare la configurazione del router attingendone così le informazioni. L’esecuzione del programma è possibile dal web-server del router, regolarmente accessibile tramite LAN (rete interna) ma anche tramite WAN (rete esterna) su porta TCP 8007.

Command Injection

Si tratta della vulnerabilità che permette l’esecuzione del codice. Il router consente la generazione di un certificato digitale X.509 sul dispositivo (in breve certificati che evitano al browser di segnalare la pagina web dell’interfaccia router come non sicura ed eventualmente bloccarne l’esecuzione). La generazione del certificato avviene tramite una stringa di codice eseguita in openssl (implementazione di un protocollo di comunicazione sicuro). La stringa è composta in parte da dati inseriti dall’utente in caselle di testo che, però, non vengono filtrate. Un utente malevolo potrà, pertanto, inserire opportunamente del codice e far eseguire al router determinati comandi e, con un exploit di diritti, diventarne anche amministratore.

La portata del danno

Secondo Troy Mursch, ricercatore di Bad Packets, azienda che opera nel ramo della cybersecurity, i dispositivi esposti ad internet e sensibili all’attacco sono 9657, per lo più negli Stati Uniti. L’elenco degli IP non è pubblico ma disponibile gratuitamente per i CERT (Computer Emergency Response Team: le squadre di intervento informatico) autorizzati.
Nel frattempo si è registrata una massiccia ricerca dei dispositivi incriminati da parte degli hacker, nella speranza che i firmware non siano già stati aggiornati.

Le contromisure

La CISCO ha, infatti, prontamente risposto all’emergenza. Il 25 Gennaio scorso sono stati rilasciati gli ultimi aggiornamenti al sistema che governa il dispositivo. Si potrà quindi far fronte ad ambedue le problematiche. Chiaramente, dalla data del rilascio alla diffusione della cura può passare un decisivo transitorio temporale. Il consiglio per i possessori di tali modelli di router è, dunque, quello di aggiornare quanto prima il firmware, scaricando la nuova versione dal sito ufficiale.