Juniper riconosce che ScreenOS è stato preso di mira da Equation Group

La società Juniper Networks ha riconosciuto che alcuni exploit contenuti nel dump di ShadowBrokers sono specificamente destinati a colpire i suoi prodotti.

“Dopo aver analizzato i file disponibili, siamo giunti alla conclusione che un determinato gruppo ha attaccato i dispositivi NetScreen basati sul sistema operativo ScreenOS, — ha dichiarato Derrick Scholl, responsabile della divisione che, presso Juniper, si occupa di fornire una pronta reazione nei confronti degli incidenti informatici. — Per il momento stiamo valutando l’effettiva entità dell’attacco, ma le informazioni raccolte durante l’analisi iniziale rivelano che il target di quest’ultimo era di fatto rappresentato dal boot loader del sistema operativo, e non dallo sfruttamento di eventuali vulnerabilità presenti sui dispositivi provvisti di ScreenOS”.

“Continueremo a valutare esattamente quale livello di accesso possa rivelarsi sufficiente per realizzare l’attacco, se lo stesso può essere rilevato, e se sono sottoposti a tale specifico problema ulteriori dispositivi”, — ha affermato l’esperto.

Nel data dump pubblicato dal misterioso gruppo ShadowBrokers sono stati ugualmente individuati exploit destinati allo sfruttamento delle vulnerabilità rilevate nei prodotti Cisco e Fortinet; il gruppo in questione ha annunciato, la scorsa settimana, l’apertura di un’asta, nel corso della quale saranno messi in vendita exploit utilizzati dalla celebre APT denominata Equation Group — a detta di molti, l’alter ego della National Security Agency (NSA) statunitense.

Equation Group è attualmente considerato il gruppo APT in assoluto più influente. Molti ricercatori, tra cui gli esperti di Kaspersky Lab, che, nel corso del 2015, hanno individuato e analizzato questa rete di cyber-spionaggio, segnalano una correlazione estremamente chiara ed evidente tra gli exploit utilizzati da Equation Group e gli strumenti, e gli exploit, messi in vendita dai membri di ShadowBrokers.

Juniper è l’ultima società, nell’ambito della nota “trojka” di giganti del networking, divenuti bersaglio di Equation Group, ad aver riconosciuto la legittimità dei tool di cyber-spionaggio. La scorsa settimana, Cisco ha fatto sapere che uno degli attacchi aveva sfruttato una vulnerabilità zero-day individuata nel proprio firewall ASA, la quale non è stata ancora patchata. Un’altra falla di sicurezza, rilevata nel parser dell’interfaccia della riga di comando, riguardo alle soluzioni firewall ASA, era stata chiusa già nel 2011; essa era in grado di causare il crash dei dispositivi che facevano uso del software vulnerabile, ed offriva l’opportunità di poter eseguire codice da remoto, a condizione dell’effettiva disponibilità dell’accesso al dispositivo che presentava il bug.

La vulnerabilità zero-day a livello di implementazione SNMP, per quel che riguarda la famiglia ASA, offre al malintenzionato l’opportunità di eseguire – in modalità remota, e senza alcuna procedura di autenticazione – codice dannoso sul dispositivo. Cisco ha annunciato la release di una firma IPS per le apparecchiature ormai obsolete (Legacy Cisco IPS Signature ID: 7655-0) e di un’apposita regola di sicurezza per il sistema adibito al rilevamento delle minacce, Snort (ID: 3:39885).

“Il difetto provoca un buffer overflow nella sezione vulnerabile del codice. Questa vulnerabilità può essere sfruttata inviando pacchetti SNMP appositamente configurati all’indirizzo del sistema, — si riferisce nel comunicato emesso da Cisco. — Se dispone dell’exploit, un hacker può eseguire da remoto del codice arbitrario, o forzare deliberatamente il riavvio del sistema vulnerabile. Per poter sfruttare la vulnerabilità, l’attacker deve comunque conoscere la stringa della community SNMP”.

Verso la fine della scorsa settimana, il ricercatore Mustafa Al-Bassam ha esaminato un ulteriore exploit di Equation Group nel dump denominato BENIGNCERTAIN. Tale exploit è stato appositamente sviluppato per colpire i firewall Cisco PIX più datati, non più supportati dal produttore. L’attacco, secondo quanto sostiene l’esperto, si riassume, in pratica, nella possibilità di individuare e carpire, da remoto, le chiavi di crittografia RSA private.

“L’analisi condotta ha dimostrato che il tool utilizzato sembra essere, in pratica, un exploit remoto rivolto ai dispositivi Cisco PIX; esso invia un pacchetto IKE (Internet Key Exchange) al dispositivo vulnerabile, causando un leakage di memoria parziale, — ha riferito Al-Bassam. — I dati compromessi vengono sottoposti a parsing; in tal modo risulta possibile estrarre una chiave di crittografia RSA privata, così come altre informazioni di natura sensibile riguardo alla configurazione”.

Venerdì, Cisco ha replicato alle informazioni diffuse, sottolineando come le indagini da essa svolte riguardo al dump BENIGNCERTAIN non avessero evidenziato alcuna nuova vulnerabilità negli attuali prodotti.

“Anche in considerazione del fatto che la linea di prodotti Cisco PIX non viene più supportata dal 2009, allo scopo di garantire la sicurezza dei clienti che stanno ancora utilizzando tali dispositivi, abbiamo condotto un’apposita indagine, rilevando che la vulnerabilità in questione è contenuta nei dispositivi PIX sino alla versione 6.x, — ha puntualizzato Omar Santos nel bollettino informativo pubblicato riguardo a ShadowBrokers. — Le versioni di PIX 7.0 e superiori non sono interessate dalle vulnerabilità BENIGNCERTAIN. Allo stesso modo, non contiene vulnerabilità nemmeno la linea Cisco ASA”.

Per quanto riguarda Juniper, non è la prima volta che tale società diviene oggetto di attacchi da parte dell’NSA. I prodotti Juniper erano stati menzionati a parte nel rapporto di Edward Snowden, risalente al 2013, sulla portata delle azioni di sorveglianza effettuate dalla NSA. Verso la fine dello scorso anno, il produttore dichiarava di aver rimosso “codice non autorizzato” dal codice di cui si compone il sistema operativo ScreenOS; grazie a tale “punto debole”, l’attacker era in grado di decifrare il traffico VPN in transito attraverso i dispositivi NetScreen.

Nel 2013, la nota rivista tedesca Der Spiegel aveva pubblicato un articolo firmato da vari autori, Jacob Appelbaum, Judit Horchert e Christian Stocker, nel quale veniva descritta l’immissione del codice FEEDTHROUGH della NSA, preposto ad installare una backdoor sui firewall NetScreen e sui dispositivi VPN provvisti di sistema operativo ScreenOS. Juniper ha individuato e patchato entrambe le falle nel mese di dicembre dello scorso anno; attraverso la prima delle due veniva installata una backdoor in grado di decifrare il traffico VPN; la seconda, invece, consentiva di ottenere l’accesso da remoto ai dispositivi NetScreen, tramite SSH o via Telnet.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *