Presto qualche cyber criminale potrebbe avere nel suo arsenale uno strumento d’attacco in grado di eseguire comandi con privilegi di amministratore su Cisco Firewall Management Center, uno degli strumenti più utilizzati in ambito aziendale per gestire in maniera centralizzata i firewall della multinazionale statunitense.

A lanciare l’allarme è stato l’i-SOC di Cyberoo, azienda italiana specializzata in cyber security, che ha intercettato delle comunicazioni sul Dark Web in cui un anonimo pirata informatico avrebbe messo in vendita l’exploit che consentirebbe di violare il cuore dei sistemi di difesa marchiati Cisco.

Come sottolineano gli autori del report, si tratta in ogni caso di una minaccia potenziale, la cui esistenza e corrispondenza a quanto dichiarato nel post è tutta da verificare. Prendere tutte le precauzioni del caso, però, è quantomeno doveroso.

Exploit per Cisco FMC: i dettagli tecnici

Le informazioni a disposizione dei ricercatori sono limitate a quanto può essere letto nel post pubblicato su un forum dedicato al cyber crimine, ma dipingono uno scenario decisamente preoccupante.

Si tratterebbe, infatti, di una vulnerabilità “pre-auth”, sfruttabile cioè senza che sia necessario avere a disposizione delle credenziali di autenticazione per la piattaforma Cisco FMC. Il tasso di successo, sempre stando a quanto dichiarato dall’autore del post, sarebbe elevatissimo: tra il 95 e il 100%.

Nel sintetico report pubblicato dalla società di sicurezza si specifica che l’exploit consentirebbe, oltre all’elevazione dei privilegi a livello root su appliance virtuali Linux, l’esecuzione di codice in remoto e, di conseguenza, la possibilità di portare attacchi a elevato impatto sui sistemi vulnerabili.

Un’attività di questo genere, spiegano gli esperti, potrebbe portare alla totale compromissione della console di gestione Cisco, alla conseguente possibile manipolazione delle policy dei firewall gestiti da FMC, oltre che al furto o all’alterazione dei log e delle credenziali.

Infine, sarebbe possibile creare anche delle backdoor persistenti.

Il potenziale impatto della vulnerabilità

La situazione è piuttosto insolita e, proprio per questo motivo, allarmante.

Se gli alert per nuove vulnerabilità rappresentano già un incubo per i responsabili della cyber security, che si trovano nella situazione di dover applicare le patch quanto prima in contesti spesso complessi, in questo caso siamo di fronte a una sorta di “oggetto misterioso”, di cui sono noti pochissimi dettagli e per il cui contrasto, almeno per il momento, è possibile pensare solo a eventuali workaround.

A complicare ulteriormente le cose c’è il fatto che la vulnerabilità riguarderebbe appliance di sicurezza, che rappresentano per ovvi motivi un elemento estremamente “sensibile” all’interno dell’infrastruttura.

Uno dei tasti dolenti è la valutazione del numero di possibili potenziali vittime dell’attacco. Secondo gli autori del report sarebbero potenzialmente decine di migliaia, con un’aggravante: i dispositivi vulnerabili potrebbero essere esposti su Internet e di conseguenza essere rintracciati usando semplici strumenti di ricerca come Shodan.

Proprio le impostazioni di FMC sono al centro delle raccomandazioni che gli esperti di Cyberoo pubblicano a margine del report riguardante la scoperta del possibile exploit.

Oltre all’applicazione delle patch più aggiornate e al monitoraggio tramite sistemi SIEM (Security Information and Event Management), il consiglio è di procedere a una rigorosa segregazione e alla limitazione dell’accesso tramite VPN aziendale o sistema di white list basata su indirizzi IP.

Insomma: quello che suggeriscono gli esperti è di limitare al massimo la possibilità di collegamento in remoto alla piattaforma Cisco.

Un altro punto a favore della Cyber Threat Intelligence

Quali che siano gli sviluppi della vicenda nello specifico, il fatto che sia stato possibile segnalare la notizia della messa in vendita sui market del Dark Web di un nuovo exploit rappresenta un ulteriore passo verso la maturità della Cyber Threat Intelligence (CTI), considerata sempre più spesso come un fattore differenziale per garantire la massima efficacia degli strumenti di protezione cyber.

La CTI è normalmente utilizzata per monitorare il Dark Web con l’obiettivo di individuare informazioni che riguardano una specifica organizzazione, ad esempio segnalando tempestivamente data leak o insight riguardanti gli utenti impiegati nell’azienda.

Questa sua applicazione a un livello più elevato e “generico” può garantire un vantaggio strategico a tutti i soggetti coinvolti, che avranno la possibilità di predisporre tutte le misure necessarie per mitigare il rischio di un attacco.

In una diversa prospettiva, dimostra come l’evoluzione di quella “cultura della sicurezza” che gli esperti del settore invocano da tempo sta prendendo piede con sempre maggiore decisione.

Comunque vada, quindi, si tratta di una buona notizia.