Sono state scoperte molteplici vulnerabilità critiche nell’infrastruttura e nelle Web App di Huawei che, se sfruttate dai criminal hacker, avrebbero potuto impattare la Business Continuity e la sicurezza dei dati e delle informazioni degli utenti, oltre alla regolare attività dei servizi.
Le vulnerabilità sono state scoperte dal Cyber Security Research Team dell’italiana Swascan che, nel pieno rispetto delle regole di Responsible Vulnerability Disclosure, ha immediatamente contattato i responsabili della sicurezza del colosso cinese delle telecomunicazioni per impostare una collaborazione volta all’attività di remediation delle falle.
Indice degli argomenti
Vulnerabilità nell’infrastruttura Huawei: i dettagli tecnici
Dall’analisi dei documenti tecnici pubblicati dai ricercatori Swascan si evince che le vulnerabilità critiche nell’infrastruttura e nelle Web app di Huawei andavano ad impattare fortemente sui tre elementi di base della sicurezza dei dati: confidenzialità, integrità e disponibilità (identificati anche dalla sigla CIA, Confidentiality, Integrity, Availability).
In particolare, le vulnerabilità sono state classificate come:
- CWE-119 (Improper Restriction of Operations within the Bounds of a Memory Buffer): il software esegue operazioni su un buffer di memoria, ma può leggere o scrivere in una posizione di memoria che si trova al di fuori del confine previsto del buffer. Se la memoria accessibile dall’attaccante può essere efficacemente controllata, può essere possibile eseguire codice arbitrario, come nel caso di un buffer overflow standard. Se l’attaccante può sovrascrivere la memoria di un puntatore (di solito 32 o 64 bit), sarà in grado di reindirizzare un puntatore di funzione al proprio codice dannoso. Anche quando l’attaccante può modificare solo un singolo byte, l’esecuzione arbitraria del codice è possibile. A volte questo è dovuto al fatto che lo stesso problema può essere sfruttato ripetutamente con lo stesso effetto. Altre volte è perché l’aggressore può sovrascrivere dati critici per la sicurezza specifici di un’applicazione – come un flag che indica se l’utente è un amministratore.
- CWE-125 (Out-of-bounds Read): il software legge i dati oltre la fine, o prima dell’inizio, del buffer previsto. In genere, questo può consentire agli aggressori di leggere informazioni sensibili da altre posizioni di memoria o causare un crash.
- CWE-78 (OS Command Injection): il software costruisce tutto o parte di un comando OS utilizzando input influenzati dall’esterno da un componente upstream, ma non neutralizza o neutralizza in modo errato elementi speciali che potrebbero modificare il comando OS previsto quando viene inviato a un componente a valle. Gli aggressori potrebbero eseguire comandi non autorizzati, che potrebbero essere utilizzati per disabilitare il software o per leggere e modificare dati per i quali l’aggressore non ha il permesso di accedere direttamente. Poiché l’applicazione mirata esegue direttamente i comandi al posto dell’aggressore, qualsiasi attività dannosa può sembrare che provenga dall’applicazione o dal proprietario dell’applicazione.
L’importanza di una corretta cyber security della Supply Chain
I dettagli tecnici delle vulnerabilità scoperte nell’infrastruttura e nelle Web application di Huawei richiamano alla mente quanto già successo qualche mese fa quando dal server Asus dedicato all’updating automatico dei prodotti del produttore coreano fu diffuso un trojan backdoor su migliaia di dispositivi di ignari utenti.
Due casi, Huawei e Asus, che sottolineano una volta di più l’importanza per le aziende di adottare le misure tecniche necessarie per garantire la sicurezza informatica della Supply Chain, la catena di distribuzione che negli ultimi tempi viene utilizzata sempre più spesso anche per la distribuzione di dati e informazioni digitali. E che, di conseguenza, ha iniziato ad attirare l’attenzione dei criminal hacker interessati allo spionaggio industriale e sempre alla ricerca di metodi ottimali per ottenere i maggiori vantaggi economici possibili.
Il rischio per le aziende di subire un attacco alla Supply Chain è particolarmente elevato anche perché questo genere di cyber attack è molto difficile da identificare e contrastare: un livello ottimale di sicurezza dei dati e delle informazioni richiederebbe, infatti, controlli accurati ad ogni passaggio tra gli anelli della catena di distribuzione.
Nonostante ciò, le aziende sembrano prestare ancora poca attenzione al problema e, il più delle volte, finiscono per non avere più il controllo dei propri dati: di fatto, nel passaggio da un anello all’altro della catena di distribuzione, si perde il controllo sulle informazioni digitali condivise, con tutte le conseguenze del caso anche da un punto di vista della normativa sulla protezione dei dati e delle reti introdotta dal GDPR e dalla Direttiva NIS o dal Cybersecurity Act, il Regolamento (UE) 2019/881 del Parlamento Europeo e del Consiglio che è pienamente esecutivo dallo scorto 28 giugno.
A questo proposito e in merito anche alla collaborazione tra Swascan e Huawei, Pierguido Iezzi, Co-Founder di Swascan, ha sottolineato come “nel mondo della cyber security si sta affermando finalmente il principio della collaborazione. I rischi aumentano di n volte di anno in anno e a fronte di questo si è reso necessario un Paradigm Shift culturale oltre che tecnologico. La nostra esperienza con Huawei dimostra che, se recepiti correttamente, questi valori possono rappresentare un’ulteriore colonna portante per creare un cyber security framework efficace ed efficiente”.
Un’affermazione, quella di Iezzi, che sottolinea l’importanza anche di adottare le best practice di una sicurezza informatica preventiva.
Per far fronte alle emergenti minacce dei criminal hacker c’è bisogno di una doppia azione: lato azienda è necessaria un’infrastruttura informatica sicura e un personale qualificato, unita però alle competenze e agli strumenti che solo gli esperti di cyber security possono dare.
