Il CERT avverte: rete a rischio

Una debolezza del protocollo SNMP mette a rischio molti device di rete e persino gli utenti. Preoccupazione. L'advisory ufficiale del CERT. Si parla di un tool di attacco che sta già circolando. ISP in prima linea


Web – Le anticipazioni si sono rincorse per tutta la giornata di ieri fino a quando in serata il CERT, l’organismo di ricerca e sicurezza americano finanziato dal governo USA, ha rilasciato un advisory su un problema di sicurezza ritenuto estremamente pericoloso, un problema che riguarda provider, operatori e potenzialmente anche gli utenti internet.

La sostanza è che esiste una vulnerabilità grave in uno dei protocolli più diffusi nel mondo del networking, il Simple Network Management Protocol (SNMP), un protocollo utilizzato su una varietà di device essenziali al funzionamento delle reti, dai router agli switch, ma anche su altri strumenti: si tratta infatti di un linguaggio di base che consente ai responsabili di rete di monitorare e gestire le performance dei sistemi di networking.

Ne consegue che una sua importante debolezza possa risultare particolarmente insidiosa. Secondo Martin Linder del CERT sarebbero più di 200 i produttori di hardware i cui prodotti sono a rischio, e questo proprio a causa della diffusione dell’SNMP. Stando a Linder, le vulnerabilità potrebbero consentire ad un aggressore esterno di spegnere i device o tagliarli fuori dalla rete. “In un caso estremo – ha dichiarato l’esperto – si potrebbe provocare un buffer overflow per prendere possesso del device”.

Secondo il CERT “le vulnerabilità individuate in SNMP possono favorire attacchi denial-of-service, interruzioni di servizio e in alcuni casi consentire l’accesso al device da parte dell’aggressore”.

Va anche detto che il rischio rappresentato dalle vulnerabilità di SNMP varia grandemente a seconda del tipo di device. Anche per questo nella pagina dell’advisory sono disponibili riferimenti diretti ai produttori dell’hardware che può essere compromesso da un’aggressione.

Va detto che il bug è noto in certi ambienti da un anno, da quando in Finlandia l’Università di Oulu lo ha rilevato. Linder ha spiegato che, comunque, la debolezza affligge SNMP dalla nascita del protocollo, più di dieci anni fa. Negli ultimi mesi il CERT lo ha esaminato e ne ha parlato con i produttori di hardware. Ultimamente, però, di questa vulnerabilità sono iniziati a trapelare particolari all’esterno di certi ambienti e il CERT ha dunque deciso di intervenire rilasciando lo statement ufficiale, un advisory che nelle speranze degli esperti dovrebbe ridurre eventuali danni potenzialmente causati da cracker capaci di sfruttare la vulnerabilità.

Nel contempo i tecnici di TruSecure hanno fatto sapere che stanno studiando un tool che consente di sfruttare la vulnerabilità per ottenere il controllo di alcuni device e lo “scollegamento” di altri. Hanno anche spiegato che il tool al momento si trova “on the wild”, ed è quindi disponibile in rete e potrebbe essere già finito nelle mani di qualche potenziale aggressore. Da parte loro, in ogni caso, non si aspettano gravissimi danni a causa delle debolezze di SNMP ma affermano che vada messo in conto come lo sfruttamento abusivo di questa falla porterà ad una serie di “incidenti”.

Secondo Alan Paller, direttore della ricerca presso il SANS Institute , i provider dovranno muoversi rapidamente nelle prossime ore per mettere i propri network al sicuro. “Gli ISP che non agiscono ora – ha affermato – corrono il rischio di vedersi sganciare i propri router dalla rete”.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    SPAM
    Un grazie a tutti coloro che combattono contro lo Spam. Ne sono stata vittima anch'io. Se anche Supereva ne é coinvolta, peccato. E`un sito che stimo. E, se ha favorito lo Spam, mi deluderebbe.loretta
  • Anonimo scrive:
    Wind, Tiscali e Libero fanno il loro dovere
    sono gradite altre segnalazioni di ISP attivi contro lo spam
  • Anonimo scrive:
    E TISCALI DOVE LO METTIAMO?????????????
    come da oggetto
    • Anonimo scrive:
      Re: E TISCALI DOVE LO METTIAMO?????????????
      - Scritto da: Wasted
      come da oggettoMai ricevuto spam da tiscali, AFAIR
      • Anonimo scrive:
        Re: E TISCALI DOVE LO METTIAMO?????????????
        - Scritto da: SiN


        - Scritto da: Wasted

        come da oggetto

        Mai ricevuto spam da tiscali, AFAIRDevo dire neppure io mai spam da Tiscali.
    • Anonimo scrive:
      Re: E TISCALI DOVE LO METTIAMO?????????????
      Non saprei, personalmente ho trovato serio il sistema di abuse di tiscali.Ho trovato un tentativo di spamming sul mio smtp proveniente da un ip della rete di tiscali, ho segnalato il fatto all'abuse, il giorno dopo mi ha risposto dicendomi che aveva già segato quell'account perché non ero il solo ad essermi lamentato, e mi ha chiesto i log del mio smtp per completare la documentazione.A me sembra un comportamento serio e responsabile.
      • Anonimo scrive:
        Re: E TISCALI DOVE LO METTIAMO?????????????
        Comportamento responsabile???Io ricevo almeno una volta a settimana le loro mail pubblicitarie (sì, proprio da @it.tiscali.com!) in formato html (in questi giorni ne ho ricevute ben tre riguardo a s.valentino).A voi il giudizio.pieggi.
  • Anonimo scrive:
    Meno marketing piu' competenza tecnica
    Di grandi fornitori di accesso si devono rendere conto che non basta avere un marketing d'assalto per essere bravi, ma ci vogliono dei tecnici BRAVI e COMPETENTI che gestiscano i loro server.Ciao,luigi
    • Anonimo scrive:
      Re: Meno marketing piu' competenza tecnica
      Oppure devono rendersi conto che certe pratiche commerciali fanno imbestialire gli utenti...
  • Anonimo scrive:
    In effetti....
    ....anche quelli di supereva non scherzano.Ma Buongiorno è (almeno in Italia) imbattibile
    • Anonimo scrive:
      Re: In effetti....
      - Scritto da: Ansia
      ....anche quelli di supereva non scherzano.

      Ma Buongiorno è (almeno in Italia)
      imbattibileIl problema chiave sta nel fatto che con tutti i siti ospitati e' ovvio che ci sia qualcuno che spamma per pubblicizzarsi (LOGHI e SUONERIE tanto per dire). Difficile stare dietroa tutti.
      • Anonimo scrive:
        Re: In effetti....

        Il problema chiave sta nel fatto che con
        tutti i siti ospitati e' ovvio che ci sia
        qualcuno che spamma per pubblicizzarsi
        (LOGHI e SUONERIE tanto per dire). Difficile
        stare dietroa tutti. Il problema chiava sta nel come lavora l'abuse, ovvio che non puoi stare dietro a tutti, ma quando ricevi una segnalazione, VERIFICALA. Se è vero che qualcuno abusa del servizio, e ci sono lamentele, il provider serio prende provvedimenti.Il fatto è che le reazioni dell'abuse vanno dal serio ("abbiamo già preso provvedimenti, potrebbe mandarmi i log del suo smtp relativi all'abuso per completare la documentazione?") fino al ridicolo (ho incontrato abuse che si sono lamentati del fatto che ricevevano troppe segnalazioni, come fossero ingiustificate lamentele!!!).Poi ci sono quelli tipo TIN che hanno l'abuse deviato direttamente in /dev/null ...
        • Anonimo scrive:
          Re: In effetti....
          Ci vorrebbe una legge contro loghi e suonerie, si eviterebbe tonnellate di spamming e tanti siti online dedicati su come fregare gli utenti.Io sono un webmaster da diversi anni e sono decisamente contro questo tipo di siti, che non offrono nulla, ma solo un metodo "sporco" per guadagnare con gli utenti.anche godado.it e altri noti networks ultimamente promuovono questo tipo di metodo per riempirsi le tasche a discapito degli utenti.- Scritto da: Crononauta

          Il problema chiave sta nel fatto che con

          tutti i siti ospitati e' ovvio che ci sia

          qualcuno che spamma per pubblicizzarsi

          (LOGHI e SUONERIE tanto per dire).
          Difficile

          stare dietroa tutti.
Chiudi i commenti