Switch Lenovo, la backdoor che viene da lontano

La corporation cinese svela l'esistenza di una potenziale backdoor all'interno dei suoi switch, anche il problema risale a parecchi anni fa quando la tecnologia vulnerabile faceva riferimento a tutt'altra azienda
La corporation cinese svela l'esistenza di una potenziale backdoor all'interno dei suoi switch, anche il problema risale a parecchi anni fa quando la tecnologia vulnerabile faceva riferimento a tutt'altra azienda

Lenovo ha scoperto di trovarsi il verme – cioè la backdoor – in casa, una vulnerabilità classificata come CVE-2017-3765 che, in particolari condizioni, potrebbe portare alla compromissione da remoto degli switch di rete appartenenti alle linee RackSwitch e BladeCenter .

La backdoor in questione riguarda i dispositivi basati su tecnologia ENOS (Enterprise Network Operating System), è stata individuata in un audit interno sui firmware dei prodotti acquisiti da altre aziende e risalirebbe addirittura al lontano 2004.

All’epoca ENOS era un sistema gestito dalla divisione Blade Server Switch Business Unit (BSSBU) di Nortel, e sarebbe stata proprio quest’ultima ad autorizzare l’aggiunta di un accesso segreto dietro richiesta specifica di un cliente OEM di BSSBU. Il cliente in oggetto non viene indicato, anche se il modo in cui Lenovo si riferisce alla vulnerabilità (“HP backdoor”) lascia davvero poco spazio all’immaginazione.

Nel 2006 BSSBU è diventata un’entità dipendente nota come BLADE Network Technologies (BNT) , spiega ancora Lenovo, e la backdoor è rimasta al suo posto anche dopo l’acquisizione di BNT da parte di IBM nel 2010. Il portafoglio di prodotti BNT è stato infine acquistato dalla corporation cinese nel 2014.

Dal punto di vista Lenovo, la presenza di un meccanismo in grado di bypassare i meccanismi di autenticazione è “inaccettabile” e contraria alle pratiche industriali interne . La corporation si è pertanto impegnata a rilasciare firmware aggiornati (augurabilmente privi di porte di accesso segrete) per gli switch che usano ENOS – sia per quelli venduti direttamente da Lenovo che quelli marchiati IBM.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

19 01 2018
Link copiato negli appunti