La notizia che stiamo per approfondire è passata quasi inosservata: lo scorso settembre è stata rilevata una vulnerabilità nei chipset Wi-Fi MediaTek integrati in piattaforme embedded compatibili con lo standard Wi-Fi 6.
L’azienda taiwanese ha già rilasciato un aggiornamento firmware che risolve la falla che, se sfruttata, avrebbe potuto consentire a cyber criminali di eseguire codice da remoto.
Una prima lettura dei fatti lascia poco spazio alla sorpresa perché, se ridotta all’essenziale, si tratta soltanto di una delle tante crepe nelle quali gli hacker si inseriscono con crescente abilità e creatività.
Tuttavia, in questo caso il protagonista non è un software o un sito web fasullo ma l’hardware, componenti fisiche sempre più nelle mire degli hacker e le cui vulnerabilità meritano più attenzione da parte di chi lavora nei Security Operation Center.
Indice degli argomenti
I chipset MediaTek e le patch
La vulnerabilità CVE-2024-20017 è già stata risolta. MediaTek ha rilasciato un firmware che la neutralizza (qui l’elenco dei dispositivi coinvolti) ma occorre l’intervento umano, giacché l’aggiornamento deve essere installato a mano da sistemisti o professionisti dell’ICT.
Il ritardo con cui alcuni amministratori di sistema tendono ad aggiornare hardware e software contribuisce al successo degli hacker che tendono a usare sempre più le vulnerabilità n-days, contando sulla lentezza con cui le patch vengono rilasciate dai produttori e installate da chi di dovere.
Il punto è che, se le vulnerabilità sono nell’hardware, allora “il nemico” è già all’interno di un’impresa e ha un senso relativo continuare a monitorare i perimetri delle reti per cercarlo all’esterno.
Ciò non vuole dire che l’hardware sia da demonizzare, ma che va scelto non soltanto secondo le necessità specifiche o valutandone il costo. Va anche considerata il produttore e la sua predisposizione a rilasciare aggiornamenti dei firmware e dei driver.
Come evitare sorprese sgradevoli
Con il supporto dell’esperto e autore Salvatore Lombardo entriamo nello specifico per considerare degli scenari di cyber security che tengano in debita considerazione gli asset hardware, siano questi server, client, stampanti, periferiche generiche o dispositivi IoT.
Con l’aumento delle vulnerabilità nei chipset e nei dispositivi IoT, è utile comprende quanto è realistico per le organizzazioni monitorare e proteggere efficacemente l’hardware, considerando che l’attenzione si concentra storicamente su software e reti.
La supply chain
La supply chain dell’hardware influisce sulla sicurezza aziendale e su quella dei consumatori. Abbiamo già trattato, un anno fa esatto, il caso di migliaia di smartphone venduti con una backdoor. C’è da comprendere come i SOC possono mitigare i rischi delle compromissioni di hardware modificato.
“La supply chain dell’hardware influisce profondamente sulla sicurezza aziendale poiché introduce la possibilità che dispositivi o componenti fisici vengano compromessi prima di essere integrati nei sistemi aziendali. Questo tipo di rischio è particolarmente insidioso perché coinvolge elementi al di fuori del diretto controllo dell’azienda. Durante le varie fasi della produzione e distribuzione, i componenti hardware possono essere alterati per includere vulnerabilità, come backdoor o malware nascosti nel firmware, che sono difficili da rilevare e possono aggirare le tradizionali misure di sicurezza software.
Per mitigare questi rischi, i SOC dovrebbero adottare una serie di strategie mirate a garantire la sicurezza della supply chain. Una delle prime misure è lavorare con fornitori certificati e affidabili che seguano standard rigorosi di sicurezza durante tutte le fasi della produzione. È importante effettuare verifiche e audit regolari per assicurarsi che i fornitori rispettino le normative e le migliori pratiche. Inoltre, i SOC potrebbero implementare controlli di integrità sui componenti hardware prima che vengano utilizzati nei sistemi aziendali, con verifiche fisiche dei dispositivi e analisi del firmware.
Un’altra strategia chiave è monitorare costantemente il comportamento dei dispositivi dopo l’installazione e gestire in modo proattivo gli aggiornamenti di sicurezza da fonti certificate”, spiega Salvatore Lombardo.
Le strategie di difesa
Con l’introduzione di tecnologie quali il Wi-fi 6 e il 5G, in che modo i SOC dovrebbero implementare un approccio proattivo alla sicurezza dell’hardware, integrandolo nelle strategie di difesa informatica tradizionali. Questione spinosa e non sempre di facile soluzione, che Salvatore Lombardo contribuisce a rendere più facilmente comprensibile.
“Queste nuove tecnologie ampliano la superficie di attacco, grazie alla maggiore velocità e alla connettività più estesa che offrono, rendendo necessario un controllo più rigoroso sia sull’hardware di rete sia sui dispositivi connessi.
Un approccio proattivo alla sicurezza in questo contesto deve partire dalla comprensione delle caratteristiche e delle potenziali vulnerabilità specifiche di questi standard tecnologici. Il Wi-fi 6, per esempio, permette la connessione simultanea di un numero molto maggiore di dispositivi, aumentando così il rischio di compromissioni attraverso accessi non autorizzati o configurazioni errate dei dispositivi hardware connessi. Il 5G offre una connessione pervasiva che amplia le opportunità per i cyber attacchi.
In questo contesto, un approccio proattivo alla sicurezza hardware richiede che i SOC abbandonino una mentalità puramente reattiva, adottando strategie che includono prevenzione, rilevamento e risposta basati su una comprensione approfondita delle nuove tecnologie e delle loro potenziali vulnerabilità”.
