I tool dell’NSA colpiscono anche i nuovi firewall di Cisco e Juniper

Ago 24, 2016 Marco Schiaffino Attacchi, Hacking, Intrusione, News, Vulnerabilità 0

L’analisi degli strumenti di hacking utilizzati dall’Equation Group riserva altre sorprese: bucano anche i firewall di nuova generazione.

L’arsenale di strumenti di hacking del famigerato Equation Group, il team di pirati informatici legato ai servizi segreti statunitensi, comprenderebbe anche dei tool che consentono di “bucare” i firewall più recenti.

La scoperta arriva dopo che gli strumenti usati da Equation Group sono stati resi pubblici a seguito di un clamoroso leak avvenuto la settimana scorsa. Mano a mano che gli esperti analizzano i software degli 007 americani, il quadro si fa più chiaro e le proporzioni della vicenda sempre più ampie.

Dopo la scoperta dell’esistenza di strumenti in grado di sfruttare una vulnerabilità nei “vecchi” firewall Cisco della serie PIX, ora arriva la notizia che i servizi segreti USA possono contare su una dotazione di software ben più ampia, che gli permette di violare anche i sistemi più recenti.

Tra questi non solo i più recenti prodotti Cisco (ASA 9.x) ma anche quelli di altre aziende, come Juniper e Fortinet. Nel caso di Juniper, a rendere nota la presenza di tool che prendono di mira i suoi prodotti ci ha pensato la stessa azienda.

Juniper, in realtà, aveva avviato le prime indagini per verificare l’esistenza di questo tipo di minaccia già nel 2014, all’indomani delle rivelazioni di Edward Snowden che tiravano in ballo proprio i suoi dispositivi NetScreen.

Nei giorni scorsi gli analisti di Juniper hanno finalmente potuto trovare una conferma: gli impianti APT (Advanced Persistent Threat) usati da Equation Group contengono moduli (FEEDTROUGH e ZESTYLEAK) pensati per colpire specificatamente i suoi prodotti.

Gli strumenti in grado di attaccare i prodotti Fortinet, invece, sarebbero meno “aggiornati”. Stando a quanto dichiarato dall’azienda, infatti, il bug sfruttato per l’attacco (che consente di prendere il controllo in remoto dei dispositivi Fortigate) sarebbe presente solo nei modelli che “girano” con un firmware precedente alla versione 4.3.9, risalente al 2012.

Dopo i sospetti, la certezza: l’NSA è in grado di bucare i firewall Juniper.

Anche Cisco, i cui problemi in un primo momento sembravano limitarsi alla serie PIX ormai fuori produzione, si è dovuta mettere al lavoro per mettere mano a due vulnerabilità dei suoi dispositivi ASA (Adaptive Security Appliance) che consentirebbero l’esecuzione di codice in remoto.

La prima, sfruttata da un tool chiamato EXTRABACON, riguarda il Simple Network Management Protocol (SNMP) e sfrutta un classico buffer overflow. In attesa della patch, l’azienda suggerisce agli amministratori IT di limitare al massimo l’accesso tramite SNMP.

La seconda vulnerabilità (nome in codice del tool: EPICBANANA) interessa l’interfaccia command-line e consentirebbe un attacco dall’interno, cioè da un utente autenticato, che potrebbe portare a un Denial of Service o all’esecuzione di codice. Per sapere quali versioni di ASA sono vulnerabili si può consultare la tabella inserita nell’avviso pubblicato sul sito dell’azienda.

Il consiglio, per tutti gli amministratori di rete, è quello di procedere al più presto all’applicazione degli aggiornamenti. Ora che le vulnerabilità sono di dominio pubblico, infatti, c’è da scommettere che la platea dei possibili intrusi si sia allargata oltre i confini degli uffici della National Security Agency.

Condividi l'articolo