Alcuni informatici criminali starebbero cercando di vendere un modo per violare i sistemi di sicurezza di Cisco Fmc, il software della società americana che funge da cervello centrale per la gestione di tutti i firewall (le protezioni) di sicurezza di una rete aziendale. Nei giorni scorsi, stando a quanto scoperto dai tecnici della società di sicurezza informatica Cyberoo, è comparso un messaggio su un forum nel dark web in cui si è stato rivelato l'esistenza di alcuni comandi in grado di sfruttare la vulnerabilità dei sistemi Cisco. In particolare Cisco Firewall Management Center serie 7.x. Il software è utilizzato principalmente da grandi e medie aziende, data center e fornitori di servizi internet.
Il pezzo di codice è stato anche messo in vendita al prezzo di 500 mila dollari, in criptovalute. Secondo il Threat Intelligence team di Cyberoo questo 'trucco' per aggirare la sicurezza di Cisco permetterebbe a un malintenzionato di prendere il controllo totale di questo sistema di gestione, senza bisogno di conoscere la password di accesso. Chi ha messo in vendita l'exploit (sfruttamento, così vengono chiamati i modi per aggirare la vulnerabilità di un programma), ha stimato che ci sono decine di migliaia di sistemi esposti e facilmente rintracciabili.
Cisco fa sapere di essere a conoscenza delle segnalazioni: “I nostri team dedicati alla sicurezza dei prodotti (PSIRT) e all'analisi delle minacce (Talos) stanno conducendo indagini approfondite sulla questione”, fanno sapere a Italian Tech. E aggiungono: “Qualora fosse necessario un intervento da parte dei clienti, forniremo tempestivamente le opportune indicazioni attraverso il nostro consueto processo di divulgazione”.
La debolezza non è da sottovalutare perché prendere il controllo di un sistema di gestione centrale come il Cisco Fmc equivale a ottenere le chiavi di tutte le difese di un'azienda. Un attaccante, ad esempio, potrebbe disattivare il firewall (le porte di sicurezza), rubare i registri delle attività, o usare il sistema stesso per attaccare uno o più punti della rete aziendale. In pratica, potrebbe controllare centralmente la sicurezza di un'azienda.
L'autore, scrive Cyberoo in una nota sul suo sito ufficiale, dice che l'exploit sarebbe in grado di far eseguire comandi come “root” (l'utente con i privilegi più alti su sistemi Linux), senza alcuna interazione da parte dell'utente, in pochi secondi e con un'affidabilità vicina al 100%. Gli esperti raccomandano alle aziende di verificare subito se le console FMC sono esposte a Internet, rafforzare l'accesso con VPN o restrizioni sugli indirizzi IP, aggiornare le versioni del software e aumentare il monitoraggio dei log.
Cyberoo consiglia anche la preparazione di backup e di piani di risposta in caso di compromissione, e coordinarsi con Cisco per eventuali aggiornamenti di sicurezza ufficiali. La comparsa di questo annuncio – viene spiegato – mette in guardia tutte le aziende che utilizzano questa tecnologia: agire rapidamente può fare la differenza tra una semplice allerta e una violazione critica dei sistemi di sicurezza.
