Una nuova ricerca condotta da F-Secure ha messo in luce una serie di vulnerabilità in diversi client SCP, rivelando che il protocollo SCP (per la trasmissione cifrata di dati tra due computer) non sarebbe così sicuro come si pensa. Un attaccante potrebbe sfruttare queste vulnerabilità per installare una backdoor o del malware sulla rete aziendale, rubare informazioni confidenziali, o commettere qualsiasi altra azione una volta entrato nella rete.
.
La ricerca condotta da Harry Sintonen, F-Secure Senior Security Consultant, ha identificato le vulnerabilità in WinSCP, Putty PSCP, e OpenSSH. Harry ha identificato le vulnerabilità e creato un attacco proof-of-concept che può utilizzare per scrivere/sovrascrivere furtivamente nella directory SCP del client, modificare i permessi della directory e spiare l’output del client.
Le vulnerabilità non sono tra le più gravi problematiche che gli amministratori IT devono affrontare (deve essere stabilito un accesso man-in-the-middle prima che l’attacco funzioni). Ma ciò significa che SCP potrebbe essere un po’ meno affidabile di quello che le aziende pensano. E Harry dice che questa mancanza di consapevolezza è ciò che rende queste vulnerabilità utili agli attaccanti.
“Sicuro non significa che non potrà essere violato. E anche SCP non fa eccezioni. Gli utenti devono verificare manualmente l’identità dell’host la prima volta che si connette, il che lascia spazio a un errore dell’utente. Inoltre, le vulnerabilità nelle implementazioni SCP rendono facile per un attaccante sovrascrivere i file nella directory presa di mira”, spiega Harry. “Quindi, se un attaccante può porsi tra il client SCP e il server – o ingannare il client facendolo connettere a un server malevolo tramite phishing o spoofing DNS o qualcosa del genere – è banale poi per questo malintenzionato eseguire comandi dannosi senza che il client lo sappia.”
SCP è stato creato a metà degli anni Novanta come un modo per trasferire file tra dispositivi e una rete. Aggiunge SSH al protocollo di copia remota (noto anche come RCP, il protocollo su cui è basato SCP). Questo ulteriore livello di sicurezza rende SCP un’alternativa più sicura a FTP e RCP.
Ecco perché ha l’aggettivo “sicuro” nel suo nome.
Mentre l’aggiunta di SSH ha apportato un miglioramento, SCP non ha affrontato tutti i difetti di RCP. Ad esempio, RCP non avvisa gli utenti prima di sovrascrivere i file. SCP ha lo stesso problema.
Proprio la mancanza di comprensione del livello di sicurezza di SCP – e anche di SSH – può far sì che, anche se l’attacco non piacerà ai cyber criminali opportunisti, gli attaccanti mirati lo troveranno invece efficace contro le organizzazioni che usano SCP.
“L’attacco funziona solo se la vittima accetta le impronte digitali sbagliate. Quindi è importante che le aziende sappiano che questo non è qualcosa che i client SCP fanno automaticamente”, spiega Harry. “È una cosa che si dà così facilmente per scontata che praticamente nessuno controlla, quindi ci saranno attaccanti che potranno usare efficacemente questo tipo di tattica”.
Harry ha presentato la sua ricerca e ha fatto una demo del suo attacco proof-of-concept (POC) alla conferenza Disobey di quest’anno a Helsinki. Ecco il POC che ha mostrato al pubblico.
Il software open source è abbastanza sicuro per le aziende?
Harry ha condotto la ricerca per interesse professionale su come gli hacker potrebbero compromettere aziende che usano componenti open source popolari. Il software libero e open source è la spina dorsale di molte applicazioni popolari. Tradizionalmente, gli sviluppatori si fidano l’un l’altro per convalidare il codice open source.
Ma la realtà è difficilmente a prova di proiettile. La scoperta del bug di Heartbleed nel 2014 ha stimolato la creazione di FOSSA (Free and Open Source Software Audit) della Commissione Europea. L’intento del progetto è quello di documentare e aiutare a proteggere pezzi di software open source ampiamente usati in Europa. E recentemente, FOSSA è stata ampliata per offrire programmi bug bounties su 15 progetti di software open source (i bug bounties sono programmi di riconoscimenti e ricompense in denaro per la segnalazione di bug).
Sfortunatamente, questi programmi bug bounties non includono SCP e molti altri pezzi di software. Ma Harry dice che non c’è motivo per creare panico.
“Le aziende dovrebbero abbracciare l’OSS, ma non senza fare i dovuti controlli. Dovrebbero quindi controllare il codice sorgente, verificare se quel particolare software ha una storia di vulnerabilità critiche e stabilire processi interni per assicurarsi di essere proattivi nel monitoraggio e nella gestione della sicurezza del software”, ha precisato Harry.
Oltre a sensibilizzare, Harry consiglia alle aziende di utilizzare SFTP se possibile. Le patch sono disponibili per le aziende nei guai con SCP, inclusa una patch OpenSSH sviluppata da Harry stesso.
Ulteriori informazioni sulle patch e le vulnerabilità sono disponibili nell’advisory di Harry.
Categorie