Cisco ha pubblicato un bollettino di sicurezza in cui avvisa di una recente vulnerabilità riscontrata nei meccanismi di autenticazione del protocollo SSH utilizzati dal software di orchestrazione Cisco Policy Suite.
Lo sfruttamento della vulnerabilità potrebbe consentire ad attaccanti remoti di ottenere l’accesso root al sistema target ed eseguire codice arbitrario: ciò potrebbe mettere gli utenti aziendali a rischio di perdite di informazioni, compromissione dell’account, manomissione del database e altro.
Indice degli argomenti
Cos’è un software di orchestrazione
Nel campo della cyber security, a cosa ci riferiamo quando parliamo o quando qualcuno ci parla di software di orchestrazione? Un (Policy) Orchestrator è, appunto, un software (ma sempre di più spesso si tratta di una suite di software) in grado di centralizzare “policy di sicurezza informatica” (tipicamente policy firewall, ma non solo), dando modo al team dei sistemisti di rete di configurare (da un portale di management centralizzato) molti (quando non si tratta di tutti) degli apparati Cisco in loro gestione (spesso centinaia di migliaia, riferendoci agli ISP e MSSP di più grandi dimensioni), dove trovano posto anche gli apparati utilizzati dai loro clienti finali (aziende, Ministeri, banche, Comuni o altri enti statali, ma anche industrie e via dicendo, ovvero, anche potenzialmente il router/firewall Cisco attraverso il quale stiamo leggendo questo articolo).
Tipicamente, un orchestratore viene utilizzato per collegarsi in SSH (ma non solo) sull’apparato dalla mngmnt, e configurare o riconfigurare gli apparati interessati da quella o quelle policies di sicurezza informatica.
(Fonte: portale Cisco).
La vulnerabilità in Cisco Policy Suite
La vulnerabilità contenuta nel CVE-2021-40119 è stata classificata con un punteggio di gravità di 9.8 su un massimo di 10 nel sistema CVSS.
Si tratta, infatti, di una debolezza nel meccanismo di autenticazione del daemon SSH (protocollo applicativo utilizzato di default per connettersi ad apparati Cisco, ma non solo) utilizzato appunto da installazioni Cisco Policy Suite e sfruttabile da remoto (da attackers evidentemente non autenticati né autorizzati, ma molto interessati ad “origliare” – e non solo – il traffico di rete proveniente o diretto a quegli apparati) per autenticarsi come utente root su quegli stessi apparati che sono “agganciati” a quegli orchestratori vulnerabili (nel bollettino sono indicate le versioni inficiate).
Leggendo il bollettino di sicurezza, veniamo avvisati che per la release 20.2.0 è possibile contattare un distributore TAC per ottenere l’installazione di una patch, mentre nelle altre release citate, solo se non stiamo gestendo un upgrade non occorrerà rigenerare la coppia di chiavi RSA utilizzate dal processo di autenticazione dei flussi SSH: questo aspetto lascia spazio a un’ipotesi che nel bollettino non è evidentemente (giacché trattasi solo di un’ipotesi mossa da diversi ricercatori) indicata: ossia, le originali private keys sono hardcoded? E se così fosse, chi ci garantisce che nel Dark Web non siano già in vendita da un pezzo?
Vulnerabilità in Cisco Policy Suite: raccomandazioni
Mantenere aggiornato il proprio parco software sotto il profilo della cyber security è ovviamente una best practice da tempo immemore, ma relativamente a questo specifico bollettino Cisco, l’opportunità è d’uopo per non fermarci a riflettere solo sulla patch (che, come è indicato sul portale Cisco, a meno che non si tratti di una nuova installazione, richiederà comunque la rigenerazione di una coppia di chiavi RSA): cosa può fare un attacker che sfruttando CVE-2021-40119 riesca ad autenticarsi come root su di un’appliance che di mestiere fa il router/firewall? (Cisco ASA ma non solo, pensiamo ad esempio ai tanti switch layer3 in circolazione)
SSH è un servizio presente sulla maggior parte degli UTM e spesso è abilitato di default: ciò significa che lo sfruttamento di una vulnerabilità come CVE-2021-40119 può impattare indirettamente centinaia di migliaia (se non milioni) di device.
Perché è preoccupante al di là della Suite Cisco in sé? Perché, appunto, un attacker in grado di accedere abusivamente su di un UTM (che sostanzialmente “dovrebbe” offrire al cliente sicurezza informatica perimetrale) potrebbe essere in grado non solo di dumpare credenziali del traffico di rete in chiaro (traffico di rete e credenziali che, specifichiamo, transitano da e verso Internet attraverso quel o quell’altro UTM perimetrale), ma essere anche in grado di cambiare delle security policies senza necessariamente essere scoperto (soprattutto se gli accessi su quel device non sono monitorati né da un SOC (Security Operation Center) né da una qualche altra struttura al corrente della vulnerabilità e di questa problematica), ad esempio, potrebbe cambiare o aggiungere da remoto dei port forwarding per accedere a dei servizi critici della LAN aziendale (RDP di Windows Server obsoleti, piuttosto che porte SMB dei file server, ma gli esempi possono essere veramente tanti) sfruttando appunto come ponte l’UTM compromesso (a cui è riuscito ad accedere abusivamente in SSH).
E con questo? E con questo, la sicurezza informatica perimetrale che in condizioni normali è (era) garantita da quel device e dal team che lo gestisce, viene bypassata. L’attacker può colpire da remoto direttamente i servizi (forwardati tramite la nuova poicy) della LAN aziendale, non ha bisogno di alcunché, non necessariamente ha bisogno di exploit “no click” o di utilizzare zero days.
È quasi come se avesse un piede (un’interfaccia) della sua distribuzione Kali Linux (o qualsivoglia altra distribuzione professionale dedicata al pentesting) direttamente nella LAN del cliente-target, con Metasploit pronto a colpire il target scelto o studiato dall’attacker, o pianificando in maniera silente una serie di attacchi sfruttando movimenti laterali (in base al target che desidera raggiungere dall’esterno, gli bastera cambierà le relative policies sull’UTM). Attacchi che potrebbero coinvolgere l’avvio o l’uso di un ransomware.
Chiediamoci quante e quali sono, eventualmente, i CED o i datacenter delle pubbliche amministrazioni italiane in cui gli apparati di networking e firewalling sono orchestrati da un Cisco Policy Suite, magari non ancora patchato, per non parlare poi di aziende o enti privati.
Quanti sono? Non è forse ragionevole ipotizzare che qualcuno che si era già accorto da un pezzo di questa vulnerabilità, non l’abbia sfruttata anche per colpire con ransomware le PA italiane?
E invece, gli appliance della nostra azienda sono forse amministrati tramite Cisco Policy Suite? Se così fosse, proponiamo una veloce ma approfondita verifica sulla scia del bollettino prima che lo faccia qualcun altro da remoto, con ben diverse intenzioni dalle mie.