.:: Securnetwork.net Blog - Massimo Rabbi ::.

Cisco ha rilasciato alcuni aggiornamenti di sicurezza per le sue PIX Security Appliances e Adaptive Security Appliances (ASA).
Se il dispositivo è configurato per l’accesso VPN SSL o IPSec, le vulnerabilità consentono ad un cracker di bypassare il meccanismo di autenticazione quando si effettua l’accesso ad un dominio Windows NT.

In aggiunta è possibile causare memory leak nell’ASA Crypto Accelerator attraverso pacchetti appositamente modificati. Questo da’ la possibilità di effettuare attacchi di tipo Denial of Service (DoS).
E’ possibile altresi’ usando pacchetti IPv6 appositamente creati, causare un reboot delle appliance.
Nel security advisory di Cisco vengono riportate con esattezza le versioni delle piattaforme interessate dal problema.

RIFERIMENTI:
- Cisco removes vulnerabilities in ASA and PIX, by Heise Security
- Multiple Vulnerabilities in Cisco PIX and Cisco ASA, Cisco Security Advisory

Microsoft chiude una pericolosa falla di sicurezza relativa al servizio RPC, che stando all’advisory avrebbe consentito di inserire ed eseguire in maniera remota codice nel sistema “vittima”.
In particolare per portare a termine l’attacco sarebbero sufficienti richieste RPC appositamente modificate e su un sistema Windows 2000,XP e 2003 non sarebbe nemmeno necessario autenticarsi affinche’ le richieste vengano processate.

Microsoft esprime la sua preoccupazione circa la possibilità che questo bug diventi una potenziale via di diffusione per un worm.
In particolare il worm MSBlaster, conosciuto anche come Lovsan, si diffuse attraverso una falla simile del servizio RPC nella metà del 2003, provocando danni ingenti a infrastrutture e sistemi in tutto il mondo. Questo pero’ fu dovuto anche alla mancata attivazione del firewall di Windows XP (o di terzi parti) su sistemi che si affacciavano su Internet e poi sulle rete locali senza alcun tipo di protezione.

Nel security bullettin MS08-067, Microsoft fa presente che sono già stati segnalati attacchi che sfruttano questo bug, anche se apparentemente non c’è ancora un exploit pubblico in circolazione.
I pc che hanno attivata una qualsiasi forma di firewall sono “teoricamente” al sicuro.
In Windows Vista e Windows Server 2008, è altresi’ necessaria una autenticazione prima che l’errore possa essere sfruttato.

Il codice bacato è stato scoperto solo recentemente, tanto che è addirittura contenuto nelle prime versione beta di Windows 7.
La raccomandazione è quella di installare prima possibile l’update.
Tutti i sistemi operativi (a parte Windows 2000) configurati per gli aggiornamenti automatici dovrebbero venire notificati della patch da installare.

RIFERIMENTI:
- Microsoft patches critical hole in its RPC service, by Heise Security
- Vulnerability in Server Service Could Allow Remote Code Execution MS08-067, by Microsoft

Un gruppo di crackers sarebbe riuscito a rubare informazioni ad una società che fabbrica missili e armi e con sede in Corea del Sud. Stando alle notizie trapelate l’operazione sarebbe stata possibile grazie all’installazione di malware nei sistemi informatici della compagnia.

Il National Security Research Institute avrebbe infatti riferito che la rete informatica oggetto di questi attacchi è quella della LIGNex1 Hyundai Heavy Industries, società che produce missili teleguidati, armi terra-aria, navi da guerra e sottomarini.

Un portavoce ha detto che “i possibile sospetti ricadono su black hat cinesi o nord coreani, ma non è ancora certo quali informazioni sia state effettivamente rubate… La peggiore delle ipotesi è che siano stati sottratti i blueprints di alcuni missili e della nave Aegis”.
Quel che invece è sicuro è che la backdoor è stata installata già a marzo ed è stata individuata solamente il mese scorso.

FONTI E APPROFONDIMENTI:
- Hackers penetrate South Korean missile manufacturer, by The Register
- South Korean defence suppliers uncover malicious code
- Defense Industries Assailed by Hackers