Solo qualche giorno dall’inizio dell’anno e già dobbiamo parlare di sicurezza. Per di più, di un buco di sicurezza integrato nei firmware dei prodotti Zyxel, uno dei grandi produttori di apparati di rete.
Si tratta di una backdoor, un accesso nascosto che il produttore può usare per fare manutenzione. Ma che, proprio in quanto accesso, è anche un punto di entrata possibile per dei malintenzionati.

La EYE, società di sicurezza basata in Olanda, ha scoperto l’esistenza di un utente nascosto, ma con privilegi da amministratore, la cui password era scritta in chiaro in alcuni binari del firmware stesso. Un po’ come nascondere un lucchetto insieme alla chiave.
Dettaglio interessante: il problema è stato introddotto nell’ultimo firmware pubblicato.

Il problema è stato descritto in un documento datato 23 dicembre 2020, giorno della pubblicazione anche dei dettagli della CVE-2020-29583. Come succede in questi casi, infatti, il difetto è stato scoperto e comunicato all’azienda quasi un mese prima, che ha potuto prendere provvedimenti velocemente: in poco più di due settimane la maggior parte dei prodotti colpiti aveva a disposizione un firmware aggiornato per rimediare. Solo dopo sono stati resi pubblici i dettagli, in modo da evitare lo sfruttamento (esteso) del bug.

Ma qualcosa deve essere andato storto: arstechnica racconta che un’altra società di sicurezza, la GreyNoise, ha rilevato un crescente numero di tentativi di accesso usando proprio queste credenziali. Qualcuno, insomma, sta cercando di andare a pesca.

Una vulnerabilità del genere ha risvolti piuttosto gravi già di per suo, ma se pensiamo che – grazie a questi mesi di COVID – il telelavoro ormai è una modalità operativa normale, capiamo quanto l’accesso ad un firewall che termina le VPN usate dai dipendendi sia una minaccia grave. Per di più, se con quell’accesso è possibile configurare una connessione apparentemente del tutto leggittima.

Chiudiamo facendo una riflessione: per proteggerla quell’utenza è stata nascosta, sia nella documentazione che nel sistema, un software closed-source. Ma siamo sicuri che nascondere le cose sia il metodo migliore? Secondo noi no, e possiamo dire che questo sia, dopo il caso SolarWinds di pochi giorni fa, il secondo indizio che forse forse non sbagliamo. Come a tutti, ci piace avere ragione, ma speriamo non salti fuori il terzo…

Marco Bonfiglio

Ho coltivato la mia passione per l’informatica fin da bambino, coi primi programmi BASIC. In età adulta mi sono avvicinato a Linux ed alla programmazione C, per poi interessarmi di reti. Infine, il mio hobby è diventato anche il mio lavoro.
Per me il modo migliore di imparare è fare, e per questo devo utilizzare le tecnologie che ritengo interessanti; a questo scopo, il mondo opensource offre gli strumenti perfetti.