Lenovo e Swascan collaborano per risolvere un problema di sicurezza

Lo Swascan Cyber Security Research Team ha identificato almeno 3 vulnerabilità critiche nelle risorse digitali “My Lenovo” identificate passivamente utilizzando lo strumento di Domain Threat Intelligence (DTI).

DTI – Domain Threat Intelligence – è un servizio della Cyber Security Testing Cloud Suite di Swascan. Il servizio non esegue alcun test di sicurezza sul target e opera unicamente su informazioni disponibili sul web o sul dark web (Osint e Closint).

In linea con le procedure standard del settore e di Responsible Vulnerability Disclosure i risultati sono stati segnalati immediatamente a Lenovo che ha proceduto a rimediare e chiudere tutte le possibili vulnerabilità.

Dettagli tecnici

Come spiegato, durante alcuni controlli di sicurezza passivi (utilizzando il servizio DTI di Swascan) su alcuni domini internet ben noti, il Cyber Security Research Team di Swascan ha rilevato alcune importanti vulnerabilità su due IP selezionati.

Fortemente basata su dati di intelligence pura, la Domain Threat Intelligence fornisce informazioni e indicatori utili per implementare migliori strategie di difesa informatica e migliorare la resilienza del vostro perimetro aziendale.

L’attività di raccolta della Threat Intelligence viene effettuata attraverso un processo di ricerca, individuazione e selezione di tutte le informazioni pubblicamente disponibili relative al dominio, sottodominio e email compromessa dell’interessato. Tutte queste informazioni vengono raccolte attraverso un’analisi completamente passiva.

Lenovo Swascan

Un esempio di DTI Dashboard

In questo caso, Swascan attraverso la DTI è stata in grado di rilevare tre vulnerabilità principali:

  •  LDAP Anonymous Bind Allowed
  • LDAP Password Disclosure
  • Remote Command Execution (Potential)

Non appena queste anomalie sono state rilevate, Swascan ha proceduto a informare il Lenovo PSIRT attraverso il processo di Responsible vulnerability disclosure, uno standard del settore.

Erano inclusi tutti i proof of concept di possibili exploit, un elenco di indirizzi e credenziali vulnerabili e tutte le attività di remediation raccomandate.

In particolare le tre vulnerabilità rilevate erano delle seguenti categorie:

CWE-522: Credenziali non sufficientemente protette:

Il prodotto trasmette o memorizza le credenziali di autenticazione, ma utilizza un metodo insicuro che è suscettibile di intercettazione e/o recupero non autorizzato.

Un aggressore potrebbe ottenere l’accesso agli account utente e accedere ai dati sensibili utilizzati dagli account utente.

CWE-78: OS Command Injection:

Questo potrebbe permettere agli aggressori di eseguire comandi inaspettati e pericolosi direttamente sul sistema operativo.

Questa debolezza può portare ad una vulnerabilità in ambienti in cui l’attaccante non ha accesso diretto al sistema operativo, come nelle applicazioni web. In alternativa, se la debolezza si verifica in un programma privilegiato, potrebbe consentire all’attaccante di specificare comandi che normalmente non sarebbero accessibili, o di chiamare comandi alternativi con privilegi che l’attaccante non ha.

Il problema è esacerbato se il processo compromesso non segue il principio del minimo privilegio, perché i comandi controllati dall’attaccante possono essere eseguiti con privilegi di sistema speciali che aumentano la quantità di danni.

Dal punto di vista della debolezza, queste vulnerabilità rappresentano errori di programmazione distinti. Nella prima variante, il programmatore intende chiaramente che l’input da parti non fidate sarà parte degli argomenti del comando da eseguire.

Nella seconda variante, il programmatore non intende che il comando sia accessibile a qualsiasi parte non fidata, ma il programmatore probabilmente non ha tenuto conto dei modi alternativi in cui gli attaccanti malintenzionati possono fornire input.

Gli attaccanti potrebbero eseguire comandi non autorizzati, che potrebbero poi essere usati per disabilitare il software, o leggere e modificare dati per i quali l’attaccante non ha permessi di accesso diretto. Poiché l’applicazione presa di mira sta eseguendo direttamente i comandi, qualsiasi attività malevola potrebbe sembrare apparire come legittima.

• CWE-287: Autenticazione impropria:

Questo accade quando un attore dichiara di avere una data identità, ma il software non prova o non è in grado di provare sufficientemente che questa autenticazione sia corretta.

Questa debolezza può portare all’esposizione di risorse o funzionalità ad attori non previsti, fornendo eventualmente agli aggressori informazioni sensibili o addirittura eseguire codice arbitrario.

Swascan ha raccomandato a Lenovo l’aggiornamento dei servizi esposti, controllando la configurazione e/o chiudendo le relative porte se non necessarie al fine di mitigare il rischio.

Da parte sua, il Lenovo PSIRT ha seguito rapidamente i suggerimenti e le informazioni fornite da Swascan, dimostrando ancora una volta l’importanza e il valore delle collaborazioni tra aziende di Cyber Security e fornitori di servizi IT.

Ransomware Double Extortion 2021: La profilazione delle vittime
Cyber Risk Indicators: Blue Economy (Giugno 2021)

Pronto intervento Cyber Swascan

Contattaci per un supporto immediato

Il sottoscritto, in qualità di interessato DICHIARA di aver letto e compreso il contenuto della privacy policy ai sensi dell’articolo 13, GDPR. ACCONSENTE al trattamento dei Dati in relazione all’invio da parte del Titolare di comunicazioni commerciali e/o promozionali relative a (i) prodotti/servizi propri, ovvero a (ii) prodotti/servizi offerti da terze parti.
Il consenso prestato potrà essere revocato in qualsiasi momento contattando il Titolare ai recapiti presenti nella citata privacy policy.