Lenovo Swascan

Lenovo e Swascan collaborano per risolvere un problema di sicurezza

Lo Swascan Cyber Security Research Team ha identificato almeno 3 vulnerabilità critiche nelle risorse digitali “My Lenovo” identificate passivamente utilizzando lo strumento di Domain Threat Intelligence (DTI).

DTI – Domain Threat Intelligence – è un servizio della Cyber Security Testing Cloud Suite di Swascan. Il servizio non esegue alcun test di sicurezza sul target e opera unicamente su informazioni disponibili sul web o sul dark web (Osint e Closint).

In linea con le procedure standard del settore e di Responsible Vulnerability Disclosure i risultati sono stati segnalati immediatamente a Lenovo che ha proceduto a rimediare e chiudere tutte le possibili vulnerabilità.

Dettagli tecnici

Come spiegato, durante alcuni controlli di sicurezza passivi (utilizzando il servizio DTI di Swascan) su alcuni domini internet ben noti, il Cyber Security Research Team di Swascan ha rilevato alcune importanti vulnerabilità su due IP selezionati.

Fortemente basata su dati di intelligence pura, la Domain Threat Intelligence fornisce informazioni e indicatori utili per implementare migliori strategie di difesa informatica e migliorare la resilienza del vostro perimetro aziendale.

L’attività di raccolta della Threat Intelligence viene effettuata attraverso un processo di ricerca, individuazione e selezione di tutte le informazioni pubblicamente disponibili relative al dominio, sottodominio e email compromessa dell’interessato. Tutte queste informazioni vengono raccolte attraverso un’analisi completamente passiva.

Lenovo Swascan
Un esempio di DTI Dashboard

In questo caso, Swascan attraverso la DTI è stata in grado di rilevare tre vulnerabilità principali:

  •  LDAP Anonymous Bind Allowed
  • LDAP Password Disclosure
  • Remote Command Execution (Potential)

Non appena queste anomalie sono state rilevate, Swascan ha proceduto a informare il Lenovo PSIRT attraverso il processo di Responsible vulnerability disclosure, uno standard del settore.

Erano inclusi tutti i proof of concept di possibili exploit, un elenco di indirizzi e credenziali vulnerabili e tutte le attività di remediation raccomandate.

In particolare le tre vulnerabilità rilevate erano delle seguenti categorie:

CWE-522: Credenziali non sufficientemente protette:

Il prodotto trasmette o memorizza le credenziali di autenticazione, ma utilizza un metodo insicuro che è suscettibile di intercettazione e/o recupero non autorizzato.

Un aggressore potrebbe ottenere l’accesso agli account utente e accedere ai dati sensibili utilizzati dagli account utente.

CWE-78: OS Command Injection:

Questo potrebbe permettere agli aggressori di eseguire comandi inaspettati e pericolosi direttamente sul sistema operativo.

Questa debolezza può portare ad una vulnerabilità in ambienti in cui l’attaccante non ha accesso diretto al sistema operativo, come nelle applicazioni web. In alternativa, se la debolezza si verifica in un programma privilegiato, potrebbe consentire all’attaccante di specificare comandi che normalmente non sarebbero accessibili, o di chiamare comandi alternativi con privilegi che l’attaccante non ha.

Il problema è esacerbato se il processo compromesso non segue il principio del minimo privilegio, perché i comandi controllati dall’attaccante possono essere eseguiti con privilegi di sistema speciali che aumentano la quantità di danni.

Dal punto di vista della debolezza, queste vulnerabilità rappresentano errori di programmazione distinti. Nella prima variante, il programmatore intende chiaramente che l’input da parti non fidate sarà parte degli argomenti del comando da eseguire.

Nella seconda variante, il programmatore non intende che il comando sia accessibile a qualsiasi parte non fidata, ma il programmatore probabilmente non ha tenuto conto dei modi alternativi in cui gli attaccanti malintenzionati possono fornire input.

Gli attaccanti potrebbero eseguire comandi non autorizzati, che potrebbero poi essere usati per disabilitare il software, o leggere e modificare dati per i quali l’attaccante non ha permessi di accesso diretto. Poiché l’applicazione presa di mira sta eseguendo direttamente i comandi, qualsiasi attività malevola potrebbe sembrare apparire come legittima.

• CWE-287: Autenticazione impropria:

Questo accade quando un attore dichiara di avere una data identità, ma il software non prova o non è in grado di provare sufficientemente che questa autenticazione sia corretta.

Questa debolezza può portare all’esposizione di risorse o funzionalità ad attori non previsti, fornendo eventualmente agli aggressori informazioni sensibili o addirittura eseguire codice arbitrario.

Swascan ha raccomandato a Lenovo l’aggiornamento dei servizi esposti, controllando la configurazione e/o chiudendo le relative porte se non necessarie al fine di mitigare il rischio.

Da parte sua, il Lenovo PSIRT ha seguito rapidamente i suggerimenti e le informazioni fornite da Swascan, dimostrando ancora una volta l’importanza e il valore delle collaborazioni tra aziende di Cyber Security e fornitori di servizi IT.

I nostri servizi

Vulnerability
Assessment

Network
Scan

Penetration
Testing

Domain threat
Intelligence

Cyber Threat
Intelligence

Malware Threat
intelligence

ICT Security
Assessment

Phishing
Attack Simulation

Smishing
Attack Simulation

Cyber Incident
Response

SoC
as a Service

Security
Management