Web – Le anticipazioni si sono rincorse per tutta la giornata di ieri fino a quando in serata il CERT, l’organismo di ricerca e sicurezza americano finanziato dal governo USA, ha rilasciato un advisory su un problema di sicurezza ritenuto estremamente pericoloso, un problema che riguarda provider, operatori e potenzialmente anche gli utenti internet.
La sostanza è che esiste una vulnerabilità grave in uno dei protocolli più diffusi nel mondo del networking, il Simple Network Management Protocol (SNMP), un protocollo utilizzato su una varietà di device essenziali al funzionamento delle reti, dai router agli switch, ma anche su altri strumenti: si tratta infatti di un linguaggio di base che consente ai responsabili di rete di monitorare e gestire le performance dei sistemi di networking.
Ne consegue che una sua importante debolezza possa risultare particolarmente insidiosa. Secondo Martin Linder del CERT sarebbero più di 200 i produttori di hardware i cui prodotti sono a rischio, e questo proprio a causa della diffusione dell’SNMP. Stando a Linder, le vulnerabilità potrebbero consentire ad un aggressore esterno di spegnere i device o tagliarli fuori dalla rete. “In un caso estremo – ha dichiarato l’esperto – si potrebbe provocare un buffer overflow per prendere possesso del device”.
Secondo il CERT “le vulnerabilità individuate in SNMP possono favorire attacchi denial-of-service, interruzioni di servizio e in alcuni casi consentire l’accesso al device da parte dell’aggressore”.
Va anche detto che il rischio rappresentato dalle vulnerabilità di SNMP varia grandemente a seconda del tipo di device. Anche per questo nella pagina dell’advisory sono disponibili riferimenti diretti ai produttori dell’hardware che può essere compromesso da un’aggressione.
Va detto che il bug è noto in certi ambienti da un anno, da quando in Finlandia l’Università di Oulu lo ha rilevato. Linder ha spiegato che, comunque, la debolezza affligge SNMP dalla nascita del protocollo, più di dieci anni fa. Negli ultimi mesi il CERT lo ha esaminato e ne ha parlato con i produttori di hardware. Ultimamente, però, di questa vulnerabilità sono iniziati a trapelare particolari all’esterno di certi ambienti e il CERT ha dunque deciso di intervenire rilasciando lo statement ufficiale, un advisory che nelle speranze degli esperti dovrebbe ridurre eventuali danni potenzialmente causati da cracker capaci di sfruttare la vulnerabilità.
Nel contempo i tecnici di TruSecure hanno fatto sapere che stanno studiando un tool che consente di sfruttare la vulnerabilità per ottenere il controllo di alcuni device e lo “scollegamento” di altri. Hanno anche spiegato che il tool al momento si trova “on the wild”, ed è quindi disponibile in rete e potrebbe essere già finito nelle mani di qualche potenziale aggressore. Da parte loro, in ogni caso, non si aspettano gravissimi danni a causa delle debolezze di SNMP ma affermano che vada messo in conto come lo sfruttamento abusivo di questa falla porterà ad una serie di “incidenti”.
Secondo Alan Paller, direttore della ricerca presso il SANS Institute , i provider dovranno muoversi rapidamente nelle prossime ore per mettere i propri network al sicuro. “Gli ISP che non agiscono ora – ha affermato – corrono il rischio di vedersi sganciare i propri router dalla rete”.
Ti potrebbe interessare
13 feb 2002