Ticketbleed, un nuovo caso Heartbleed?

Individuata una nuova vulnerabilità telematica potenzialmente pericolosa, e già c'è chi fa paragoni con la famigerata falla nota come Heartbleed. Forse le implicazioni sono le stesse, ma il livello di pericolosità è molto diverso
Individuata una nuova vulnerabilità telematica potenzialmente pericolosa, e già c'è chi fa paragoni con la famigerata falla nota come Heartbleed. Forse le implicazioni sono le stesse, ma il livello di pericolosità è molto diverso

Il ricercatore Filippo Valsorda, attualmente impiegato presso il “Crypto Team” di Cloudflare, ha scovato un bug di sicurezza nelle appliance di rete ribattezzato Ticketbleed . La falla (CVE-2016-9244) potrebbe mettere a rischio le connessioni sicure (HTTPS) di un migliaio tra i siti Web più popolari al mondo, e al momento non esistono patch correttive ma solo misure tampone per mitigare il problema.

Ticketbleed è una vulnerabilità software nell’implementazione proprietaria del protocollo TLS/SSL di F5 Networks , società ben nota per i suoi apparati di rete venduti sotto il marchio F5 BIG-IP e utilizzati da alcuni colossi del Web come firewall e bilanciatori di traffico. F5 ha ammesso l’esistenza del problema, pubblicando un elenco di prodotti vulnerabili e le azioni da compiere per mitigare gli effetti del bug.

La nuova vulnerabilità agisce su una caratteristica propria del protocollo TLS di F5 nota come “ticket di sessione”, funzionalità progettata per velocizzare le transazioni Web protette con il riutilizzo delle chiavi crittografiche precedentemente usate da una connessione HTTPS già stabilita. Inviando una richiesta appositamente malformata, un malintenzionato ha possibilità di esporre 31 byte di memoria non utilizzata per ogni singolo tentativo.

Inviando una serie di richieste successive, questo l’effetto potenzialmente molto grave della falla, si potrebbero identificare informazioni sensibili o comunque private fino a compromettere la sicurezza della HTTPS. Valsorda dice di essersi limitato a stanare i siti vulnerabili, ma di non essere particolarmente esperto dell’analisi di memoria a basso livello.

Gli effetti di Ticketbleed – un “buffer overread” con esposizione di dati in memoria – fanno pensare all’utilizzo, nella realizzazione del protocollo TLS di F5, di un linguaggio di programmazione non protetto contro questo genere di bug come il C, spiega Valsorda. Per quanto non facile né immediata, la conversione del codice a qualcosa di più moderno come Rust o Go avrebbe evitato il problema.

Al momento Ticketbleed è un baco per cui non esiste patch, ma che può essere eliminato con la disabilitazione dei ticket di sessione da parte degli amministratori di rete. E anche se non pochi commentatori hanno fatto un parallelo con Heartbleed i livelli di rischio appaiono molto diversi.

La storica falla “sistemica” di Internet, emersa dai pozzi del codice di OpenSSL nel 2014 , era in grado di esporre una quantità di informazioni molto superiore ai 31 byte di Ticketbleed (64 Kilobyte) e coinvolgeva una libreria open source usata dalla stragrande maggioranza degli operatori di rete (OpenSSL appunto) contro l’implementazione proprietaria di F5. Ticketbleed non è insomma un nuovo baco Heartbleed, anche se gli assomiglia non poco.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

10 02 2017
Link copiato negli appunti