WatchGuard e gli aggiornamenti di sicurezza passati sotto silenzio

Abbiamo detto varie volte: il closed-source si porta dietro un pericolo nascosto difficilmente valutabile e contro cui non si può fare nulla, ossia le falle di sicurezza.
Dato che il codice di un certo software è visibile e disponibile solo al produttore, eventuali buchi nella sicurezza sono visibili solo a lui, come anche eventuali fix: cosa c’era di sbagliato? Il produttore può sempre decidere di non dirlo, se ritiene sia meglio.

Ed è proprio quanto raccontato su WatchGuard da ArsTechinca. WatchGuard produce soprattutto firewall, con un proprio sistema operativo chiamato Fireware OS.
I Firewall sono sistemi di sicurezza per eccellenza: analizzano e autorizzano o negano le connessioni tra reti, creando quella che è la diga più importante per accessi non voluti. Ma sono a loro volta dei computer.

Già nel 2018 l’FBI aveva distrutto una botnet che usava router e firewall casalinghi come nodi, ma nel novembre 2021 identifica una variante di questa stessa rete su alcuni dispositivi della WatchGuard, diffusasi grazie ad una vulnerabilità nel loro software. Tre mesi dopo, febbraio 2022, WatchGuard pubblica il tool per rimuovere il problema e la relativa CVE-2022-23176. Cosa c’è di particolare?

La CVE dice di completare la messa in opera delle fix iniziate a maggio 2021. E in effetti, in quella data, c’è il rilascio di una nuova versione del software, ma non si sa cosa sia stato aggiustato. E per scelta.

These releases also include fixes to resolve internally detected security issues. These issues were found by our engineers, and not actively found in the wild. For the sake of not guiding potential threat actors toward finding and exploiting these internally discovered issues, we are not sharing technical details about these flaws.

Quindi, per evitarne lo sfruttamento, si tace su quale fosse il problema. Lasciando intendere che fosse piccolo, e che comunque con l’update si sarebbe risolto tutto.
E invece qualcuno ha scoperto il problema e l’ha sfruttato. Con l’aggravante, almeno di questi tempi, che pare sia stato un gruppo governativo russo.

Il software open-source non è perfetto, non è nemmeno più sicuro per definizione, ma almeno permette di sapere cosa ci sia di sbagliato. Ed approntare qualche strategia alternativa, se proprio non è possibile aggiustare l’errore. Non trovate?

Ho coltivato la mia passione per l'informatica fin da bambino, coi primi programmi BASIC. In età adulta mi sono avvicinato a Linux ed alla programmazione C, per poi interessarmi di reti. Infine, il mio hobby è diventato anche il mio lavoro.
Per me il modo migliore di imparare è fare, e per questo devo utilizzare le tecnologie che ritengo interessanti; a questo scopo, il mondo opensource offre gli strumenti perfetti.

Tags: , ,