News

Juniper riconosce che ScreenOS è stato preso di mira da Equation Group

La società Juniper Networks ha riconosciuto che alcuni exploit contenuti nel dump di ShadowBrokers sono specificamente destinati a colpire i suoi prodotti.

“Dopo aver analizzato i file disponibili, siamo giunti alla conclusione che un determinato gruppo ha attaccato i dispositivi NetScreen basati sul sistema operativo ScreenOS, — ha dichiarato Derrick Scholl, responsabile della divisione che, presso Juniper, si occupa di fornire una pronta reazione nei confronti degli incidenti informatici. — Per il momento stiamo valutando l’effettiva entità dell’attacco, ma le informazioni raccolte durante l’analisi iniziale rivelano che il target di quest’ultimo era di fatto rappresentato dal boot loader del sistema operativo, e non dallo sfruttamento di eventuali vulnerabilità presenti sui dispositivi provvisti di ScreenOS”.

“Continueremo a valutare esattamente quale livello di accesso possa rivelarsi sufficiente per realizzare l’attacco, se lo stesso può essere rilevato, e se sono sottoposti a tale specifico problema ulteriori dispositivi”, — ha affermato l’esperto.

Nel data dump pubblicato dal misterioso gruppo ShadowBrokers sono stati ugualmente individuati exploit destinati allo sfruttamento delle vulnerabilità rilevate nei prodotti Cisco e Fortinet; il gruppo in questione ha annunciato, la scorsa settimana, l’apertura di un’asta, nel corso della quale saranno messi in vendita exploit utilizzati dalla celebre APT denominata Equation Group — a detta di molti, l’alter ego della National Security Agency (NSA) statunitense.

Equation Group è attualmente considerato il gruppo APT in assoluto più influente. Molti ricercatori, tra cui gli esperti di Kaspersky Lab, che, nel corso del 2015, hanno individuato e analizzato questa rete di cyber-spionaggio, segnalano una correlazione estremamente chiara ed evidente tra gli exploit utilizzati da Equation Group e gli strumenti, e gli exploit, messi in vendita dai membri di ShadowBrokers.

Juniper è l’ultima società, nell’ambito della nota “trojka” di giganti del networking, divenuti bersaglio di Equation Group, ad aver riconosciuto la legittimità dei tool di cyber-spionaggio. La scorsa settimana, Cisco ha fatto sapere che uno degli attacchi aveva sfruttato una vulnerabilità zero-day individuata nel proprio firewall ASA, la quale non è stata ancora patchata. Un’altra falla di sicurezza, rilevata nel parser dell’interfaccia della riga di comando, riguardo alle soluzioni firewall ASA, era stata chiusa già nel 2011; essa era in grado di causare il crash dei dispositivi che facevano uso del software vulnerabile, ed offriva l’opportunità di poter eseguire codice da remoto, a condizione dell’effettiva disponibilità dell’accesso al dispositivo che presentava il bug.

La vulnerabilità zero-day a livello di implementazione SNMP, per quel che riguarda la famiglia ASA, offre al malintenzionato l’opportunità di eseguire – in modalità remota, e senza alcuna procedura di autenticazione – codice dannoso sul dispositivo. Cisco ha annunciato la release di una firma IPS per le apparecchiature ormai obsolete (Legacy Cisco IPS Signature ID: 7655-0) e di un’apposita regola di sicurezza per il sistema adibito al rilevamento delle minacce, Snort (ID: 3:39885).

“Il difetto provoca un buffer overflow nella sezione vulnerabile del codice. Questa vulnerabilità può essere sfruttata inviando pacchetti SNMP appositamente configurati all’indirizzo del sistema, — si riferisce nel comunicato emesso da Cisco. — Se dispone dell’exploit, un hacker può eseguire da remoto del codice arbitrario, o forzare deliberatamente il riavvio del sistema vulnerabile. Per poter sfruttare la vulnerabilità, l’attacker deve comunque conoscere la stringa della community SNMP”.

Verso la fine della scorsa settimana, il ricercatore Mustafa Al-Bassam ha esaminato un ulteriore exploit di Equation Group nel dump denominato BENIGNCERTAIN. Tale exploit è stato appositamente sviluppato per colpire i firewall Cisco PIX più datati, non più supportati dal produttore. L’attacco, secondo quanto sostiene l’esperto, si riassume, in pratica, nella possibilità di individuare e carpire, da remoto, le chiavi di crittografia RSA private.

“L’analisi condotta ha dimostrato che il tool utilizzato sembra essere, in pratica, un exploit remoto rivolto ai dispositivi Cisco PIX; esso invia un pacchetto IKE (Internet Key Exchange) al dispositivo vulnerabile, causando un leakage di memoria parziale, — ha riferito Al-Bassam. — I dati compromessi vengono sottoposti a parsing; in tal modo risulta possibile estrarre una chiave di crittografia RSA privata, così come altre informazioni di natura sensibile riguardo alla configurazione”.

Venerdì, Cisco ha replicato alle informazioni diffuse, sottolineando come le indagini da essa svolte riguardo al dump BENIGNCERTAIN non avessero evidenziato alcuna nuova vulnerabilità negli attuali prodotti.

“Anche in considerazione del fatto che la linea di prodotti Cisco PIX non viene più supportata dal 2009, allo scopo di garantire la sicurezza dei clienti che stanno ancora utilizzando tali dispositivi, abbiamo condotto un’apposita indagine, rilevando che la vulnerabilità in questione è contenuta nei dispositivi PIX sino alla versione 6.x, — ha puntualizzato Omar Santos nel bollettino informativo pubblicato riguardo a ShadowBrokers. — Le versioni di PIX 7.0 e superiori non sono interessate dalle vulnerabilità BENIGNCERTAIN. Allo stesso modo, non contiene vulnerabilità nemmeno la linea Cisco ASA”.

Per quanto riguarda Juniper, non è la prima volta che tale società diviene oggetto di attacchi da parte dell’NSA. I prodotti Juniper erano stati menzionati a parte nel rapporto di Edward Snowden, risalente al 2013, sulla portata delle azioni di sorveglianza effettuate dalla NSA. Verso la fine dello scorso anno, il produttore dichiarava di aver rimosso “codice non autorizzato” dal codice di cui si compone il sistema operativo ScreenOS; grazie a tale “punto debole”, l’attacker era in grado di decifrare il traffico VPN in transito attraverso i dispositivi NetScreen.

Nel 2013, la nota rivista tedesca Der Spiegel aveva pubblicato un articolo firmato da vari autori, Jacob Appelbaum, Judit Horchert e Christian Stocker, nel quale veniva descritta l’immissione del codice FEEDTHROUGH della NSA, preposto ad installare una backdoor sui firewall NetScreen e sui dispositivi VPN provvisti di sistema operativo ScreenOS. Juniper ha individuato e patchato entrambe le falle nel mese di dicembre dello scorso anno; attraverso la prima delle due veniva installata una backdoor in grado di decifrare il traffico VPN; la seconda, invece, consentiva di ottenere l’accesso da remoto ai dispositivi NetScreen, tramite SSH o via Telnet.

Fonte: Threatpost

Juniper riconosce che ScreenOS è stato preso di mira da Equation Group

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox