Vulnerabilità in infrastrutture data-center IBM e Lenovo

 

Proto: N020118.

Con la presente Yoroi desidera informarLa riguardo alla recente pubblicazione di importanti vulnerabilità all’interno di vari componenti di rete “core” in infrastrutture datacenter IBM e Lenovo. La problematica è nota con l’identificativo CVE-2017-3765.

Il Produttore ha emesso il bollettino di sicurezza LEN-16095 dove conferma la presenza di meccanismi di bypass dell’autenticazione all’interno del firmware ENOS (Enterprise Networking Operating System), utilizzato in Prodotti ad alte prestazioni come Lenovo Rack Switch e IBM BladeCenter. Ne risultano coinvolti i dispositivi appartenenti alle famiglie:

  • Lenovo Flex System Fabric Scalable Switch, System Interconnect Module
  • Lenovo Rack Switch
  • IBM Flex System Scalable Switch, System Interconnect Module
  • IBM Switch for Bladecenter
  • IBM BladeCenter Switch Module
  • IBM RackSwitch

Per una lista esaustiva e relativi dettagli su versioni firmware afflitte si rimanda all’apposito bollettino di sicurezza.

La problematica è originata da un controverso meccanismo di bypass dell’autenticazione inserito all’interno del codice del firmware nel 2004 da parte di Nortel, organizzazione che in origine possedeva e gestiva il sistema ENOS. Tale condizione risulta sfruttabile attraverso:

  • Interfaccia di management SSH, qualora:
    • firmware ENOS risulta creato tra maggio e giugno 2004 e,
    • RADIUS o TACAS+ sono abilitati e,
    • le funzionalità “Backdoor” o “Secure Backdoor” per fallback di autenticazione sono attive,
    • in presenza di timeout di autenticazione per RADIUS o TACAS+
  • Interfaccia di Web management, qualora:
    • le funzionalità “Backdoor” o “Secure Backdoor” per fallback di autenticazione sono attive e,
    • particolare “race condition” interna (problematica di esecuzione concorrente di codice),
    • in presenza di timeout di autenticazione per RADIUS o TACAS+
  • Interfaccia Seriale, qualora:
    • LDAP, RADIUS e TACAS+ siano disabilitati, oppure
    • LDAP, RADIUS o TACAS+ siano abilitati e le funzionalità “Backdoor” o “Secure Backdoor” per fallback di autenticazione siano attive

Nonostante il Vendor indichi che la criticità sia sfruttabile in condizioni limitate, per via della tipologia di asset coinvolti e della longeva presenza all’interno del codice del firmware, la vulnerabilità in oggetto rappresenta un rischio di sicurezza non trascurabile in quanto il corretto sfruttamento da parte di un attaccante con visibilità sui dispositivi afflitti può comportare accessi non autorizzati a pannelli amministrativi di infrastrutture di rete critiche, compromettendone l’integrità ed il funzionamento.

Pertanto, qualora non fosse possibile pianificare l’applicazione degli aggiornamenti firmware rilasciati dal Produttore, Yoroi consiglia di consultare la sezione “Mitigation Strategy for Customers” all’interno del bollettino LEN-16095.

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index