{"id":14932,"date":"2018-01-19T14:32:56","date_gmt":"2018-01-19T12:32:56","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=14932"},"modified":"2019-11-22T11:08:14","modified_gmt":"2019-11-22T09:08:14","slug":"router-vulnerability-34c3","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/router-vulnerability-34c3\/14932\/","title":{"rendered":"Individuare una vulnerabilit\u00e0 non significa risolverla"},"content":{"rendered":"<p>Le notizie che riguardano lo sfruttamento di vulnerabilit\u00e0 informatiche sono ormai all\u2019ordine del giorno. La gente ne parla su Internet, gli sviluppatori pubblicano le patch e ritorna la calma. Potrebbe quindi sembrare che tutto vada bene e che il problema sia risolto. E invece non \u00e8 cos\u00ec. Non tutti gli amministratori installano gli aggiornamenti, soprattutto quando riguardano i software che interessano la rete: l\u2019aggiornamento implica un bello sforzo.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kis-difenditi-attacchi-informatici\">\n<p>Alcuni amministratori di sistema non pensano che l\u2019azienda dove lavorano possa essere un obiettivo dei cybercriminali. Altri vanno alla ricerca nei propri sistemi della frase magica \u201cnessun segnale di vulnerabilit\u00e0 sfruttate in the wild\u201d per poi rilassarsi, pensando che si tratta solo di una vulnerabilit\u00e0 teorica.<\/p>\n<p>Lo scorso anno sono state segnalate diverse gravi vulnerabilit\u00e0 negli apparecchi Cisco; tra queste c\u2019erano le vulnerabilit\u00e0 nel protocollo SNMP dell\u2019esecuzione del codice in remoto nei sistemi operativi Cisco IOS e IOS XE (advisory ID: <a href=\"https:\/\/tools.cisco.com\/security\/center\/content\/CiscoSecurityAdvisory\/cisco-sa-20170629-snmp\" target=\"_blank\" rel=\"noopener nofollow\">cisco-sa-20170629-snmp<\/a>) che consentivano a un intruso di prendere il controllo completo del sistema. Avevano solamente bisogno di una stringa di comunit\u00e0 di sola lettura del protocollo SNMP (una specie di username e password) del sistema d\u2019interesse. Il problema \u00e8 noto da luglio 2017 e Cisco, che prende sempre in grande considerazione la questione delle vulnerabilit\u00e0,\u00a0 lo ha risolto prontamente, perci\u00f2 non \u00e8 stato individuato nessun tentativo di sfruttare questa falla.<\/p>\n<p>Il nostro collega Artem Kondratenko, esperto in test di penetrazione, ha effettuato un test esterno a ha individuato un router Cisco con la stringa di comunit\u00e0 di SNMP di default. Ha poi deciso di indagare sulla sua eventuale pericolosit\u00e0 e si \u00e8 proposto un obiettivo: accedere alla rete interna attraverso il\u00a0 router. La scoperta di Kondratenko non \u00e8 stata l\u2019unica: Shodan ha individuato 3.313 dispositivi dello stesso modello con la stringa di comunit\u00e0 di default.<\/p>\n<p>Ma mettiamo da parte i dettagli tecnici; se volete maggiori informazioni su questa ricerca, potete dare un\u2019occhiata alla presentazione di Kondratenko al <a href=\"https:\/\/media.ccc.de\/v\/34c3-8936-1-day_exploit_development_for_cisco_ios\" target=\"_blank\" rel=\"noopener nofollow\">Chaos Communication Congress<\/a>. Sottolineiamo comunque il risultato finale della ricerca, ovvero che si pu\u00f2 sfruttare questa vulnerabilit\u00e0 per ottenere accesso al sistema con privilegi di livello 15, i pi\u00f9 alti negli IOS shell di Cisco. Sebbene questa vulnerabilit\u00e0 non sia ancora stata sfruttata (per il momento), non \u00e8 saggio ignorare questo problema. In sole quattro settimane Kondratenko ha scoperto il dispositivo vulnerabile e ha creato una proof of concept per sfruttare la vulnerabilit\u00e0 cisco-sa-20170629-snmp.<\/p>\n<p>Se volete essere sicuri che il vostro router non sia la prima vittima di questa vulnerabilit\u00e0, sarebbe meglio:<\/p>\n<p>1. Assicurarsi che le apparecchiature di rete siano adeguatamente aggiornate;<\/p>\n<p>2. Non utilizzare una stringa di comunit\u00e0 default su router connessi alla rete esterna (da evitare proprio in generale);<\/p>\n<p>3. Verificare la fine del ciclo vita dei dispositivi di rete in possesso. Se tali dispositivi vanno fuori produzione, \u00e8 poco probabile che le case produttrici pubblichino aggiornamenti che li riguardino.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>\u00c8 possibile sfruttare una vulnerabilit\u00e0 \u201cteorica\u201d?<\/p>\n","protected":false},"author":700,"featured_media":14933,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2956],"tags":[2696,2695,2707,294,584],"class_list":{"0":"post-14932","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-34c3","10":"tag-ccc","11":"tag-chaos-communications-congress","12":"tag-exploit","13":"tag-vulnerabilita"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/router-vulnerability-34c3\/14932\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/router-vulnerability-34c3\/12248\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/router-vulnerability-34c3\/10169\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/router-vulnerability-34c3\/14439\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/router-vulnerability-34c3\/12667\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/router-vulnerability-34c3\/12340\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/router-vulnerability-34c3\/15149\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/router-vulnerability-34c3\/19491\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/router-vulnerability-34c3\/4640\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/router-vulnerability-34c3\/20747\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/router-vulnerability-34c3\/9946\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/router-vulnerability-34c3\/10031\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/router-vulnerability-34c3\/8801\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/router-vulnerability-34c3\/9197\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/router-vulnerability-34c3\/19288\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/router-vulnerability-34c3\/19398\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/router-vulnerability-34c3\/19362\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/34c3\/","name":"34c3"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/14932","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=14932"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/14932\/revisions"}],"predecessor-version":[{"id":18692,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/14932\/revisions\/18692"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/14933"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=14932"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=14932"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=14932"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}