I tre ricercatori del Laboratorio Nazionale di Cybersecurity del Cini (Consorzio interuniversitario nazionale per l’informatica), Gabriele Costa (Scuola IMT Alti Studi Lucca), Andrea Valenza e Alessandro Armando (Università di Genova) hanno scoperto e segnalato una vulnerabilità in Metasploit Pro, strumento sviluppato dall’azienda statunitense Rapid7 e largamente utilizzato da analisti di sicurezza informatica in tutto il mondo.
La vulnerabilità avrebbe permesso un “effetto boomerang” verso l’analista e il suo PC di analisi, a causa della possibilità di eseguire un payload malevolo in Javascript dal server remoto verso il PC dell’analista da cui era partita la vulnerability scan.
Si tratta di un meccanismo per cui il server analizzato riesce a prendere il controllo del browser sul PC dell’analista e attraverso il quale è possibile infine eseguire dei comandi sullo stesso sistema operativo dell’analista mediante RCE (Remote Command Execution).
Indice degli argomenti
Metasploit Pro: il meccanismo della minaccia
Gabriele Costa, assistant professor presso la Scuola IMT Alti Studi Lucca e membro del Laboratorio Nazionale di Cybersecurity del Cini ha specificato che l’intuizione iniziale l’ha avuta Andrea Valenza che, usando Metasploit, si è domandato come fossero gestiti internamente i flussi di dati registrati durante una scansione di un sistema remoto.
Quando il gruppo di ricercatori si è accorto che si poteva costringere Metasploit a caricare informazioni arbitrarie, si è trattato solo di cercate (e trovare) l’entità più dannosa da “dargli in pasto”.
È emerso che l’elemento peggiore fosse un comando diretto alla macchina dell’analista, in modo da prenderne il controllo. L’elemento interessante è che questo attacco avrebbe funzionato sempre, in particolare anche nel caso in cui l’analista fosse stato connesso tramite rete Tor.
Andrea Valenza ha sottolineato come normalmente gli analisti di security considerino i target di scansione come entità passive sottovalutando, loro stessi, parte dei rischi nell’esecuzione di scansioni di rete.
Allo stesso tempo, anche gli strumenti usati per le scansioni non sono immuni da vulnerabilità. In particolare, il ricercatore ha spiegato il meccanismo della vulnerabilità riscontrata: “Quando esegui la scansione di un host remoto con Metasploit Pro, il tuo obiettivo può contrattaccarti con un payload XSS (Cross-Site Scripting). Usando questo insieme ad altri punti deboli, come la console di diagnostica Metasploit Pro, l’attaccante può eseguire comandi sulla tua macchina come root”.
La vulnerabilità interessa Metasploit Pro fino alla versione 4.17.0. Le CVE interessate sono state identificate con i numeri CVE-2020-7354 e CVE-2020-7355. Il problema è stato risolto il 14 maggio 2020 con la patch 4.17.1. Come sempre in questi casi, la notizia esce molto dopo la sua risoluzione per non rischiare di avere ancora sistemi non patchati e soggetti alla vulnerabilità che possano essere quindi presi di mira.
Si chiama metodo della “responsible disclosure” secondo cui si segnala le vulnerabilità del sistema e si consente al destinatario di avere tempo sufficiente per identificare e applicare le contromisure necessarie prima di rendere pubbliche le informazioni.
La scoperta è stata presentata in un paper ed accettata al RAID 2020 (Symposium on Research in Attacks, Intrusions and Defenses) con il titolo “Never Trust Your Victim: Weaponizing Vulnerabilities in Security Scanners”. Al completamento della kill chain di attacco ha contribuito anche Giovanni Minotti in supporto ad Andrea Valenza. Per approfondimenti sulla kill chain su può consultare il post in proposito.
Insegnamenti e lessons learned
Quello che si può imparare da queste evidenze riguarda due elementi principali: mai considerare scontato che un target di scansione sia benigno e passivo e accertarsi che lo strumento/piattaforma di scansione sia o meno vulnerabile, per non fornire ad alcun utente malintenzionato la possibilità di eseguire comandi come root sul proprio computer durante la scansione.
Sebbene si possa considerare la vulnerabilità come una di media criticità, il fatto stesso che interessi uno dei tool più popolari utilizzati dagli analisti di sicurezza per effettuare vulnerability assessment e penetration testing, rende il fatto maggiormente significativo, per gli impatti potenziali che avrebbe potuto avere.
Infatti, Gabriele Costa, ha spiegato che “questo metodo di attacco non è tecnicamente complesso, ma l’impatto avrebbe potuto essere drammatico perché proprio la fase in cui si individua la vulnerabilità è il momento in cui l’analista è più vulnerabile. Il problema che abbiamo riscontrato è nuovo in letteratura, quindi si tratta di un vero e proprio punto cieco. A conferma, abbiamo testato questa vulnerabilità su 78 applicativi in totale e 36 sono risultati vulnerabili! Ora abbiamo preparato una piattaforma per permettere a tutti di verificare se il rischio esiste e per fare addestramento mirato su questo tipo di attacchi. Intanto, fortunatamente gli esperti di Rapid7 hanno subito compreso il rischio e si sono attivati per mettere in sicurezza Metasploit Pro in tempi brevissimi”.
Tod Beardsley, direttore del dipartimento di ricerca di Rapid7, ha evidenziato come non esista situazione più intrigante di quella che permette di targettizzare i software di security e “hackerare gli hacker”, elemento considerato come ricompensa nei casi di difesa attiva.
Quanto al loro prodotto conferma la continua ricerca di vulnerabilità per migliorarli e renderli più sicuri ringraziando il Laboratorio Nazionale di Cybersecurity italiano per l’opportunità di rendere maggiormente sicura la loro tecnologia.
