Questo 2021 inizia trascinandosi dietro di sé le macerie degli attacchi informatici subiti dagli USA nell’ultimo mese dell’anno, che hanno coinvolto numerosi dipartimenti ed agenzie governative

La cronologia delle informazioni open inizia dall’attacco alla FireEye, nota società che si occupa di Cyber Security: siamo ai primi di dicembre quando secondo le fonti investigative avviene la penetrazione dei sistemi della società, obiettivo dell’attacco recuperare informazioni sui clienti governativi impadronirsi delle capacità di detection delle minacce archiviate nei sistemi della società; ma non solo, parte dell’attacco sarebbe stato finalizzato ad acquisire le capacità offensive della FireEye, costituite come si può facilmente intuire anche da 0-day e relativi exploit oltre che da framework noti vedi l’open source  CommandoVM.

La società cerca di correre ai ripari, avvisando i propri clienti dell’intrusione, sostenendo che non vi è stata esfiltrazione di dati, mettendo a disposizione centinaia di contromisure  per mitigare gli effetti di un eventuale  attacco utilizzando il knowHow FireEye.

Ma l’escalation continua, a pochi giorni di distanza  Dipartimenti ed Agenzie Governative USA vengono attaccate con effetti ancora tutti da calcolare bucando i sistemi SolarWinds e la sua piattaforma Orion, rendendo praticamente ininfluenti le contromisure dichiarate da FireEye, facendo emergere una vulnerabilità al  sistema di aggiornamento di Orion.

Immediato l’indice accusatorio si rivolge ad est, incolpando gruppi vicini al Governo Russo, al momento però di prove per surrogare la tesi russa non ne esisterebbero, le uniche certezze sono in capo alla gestione delle policy di sicurezza della SolarWinds.

SolarWinds negli ultimi anni è diventata leader di mercato nello sviluppo di soluzioni per la gestione e monitoraggio dell’IT, prodotto di punta proprio la piattaforma Orion, ma a cosa serve Orion?

Orion consente di avere una supervisione pressoché completa di tutte le risorse di rete, dagli applicativi fino agli storage. Uno strumento utilissimo a disposizione degli IT, che semplifica molto la loro vita, per questo motivo praticamente la maggioranza delle multinazionali e delle agenzie Governative occidentali lo utilizza. 

Pur essendo utilizzato da clienti bisognosi di prodotti performanti e sicuri, le falle erano presenti ed evidenti già dal 2018, quando iniziano a circolare in rete alcune delle problematiche che hanno portato alla Waterloo della Cybersecurity occidentale nel 2020.

In un post su Twitter, Vinoth Kumar segnalava ai tecnici della SolarWinds un’incredibile leggerezza, ovvero la pubblicazione di una repository Github con le credenziali ftp, che concedevano accesso al server di aggiornamento della società.

Un ulteriore particolare va evidenziato,  la sintassi delle password di accesso, il cui livello di complessità è così elementare da risultare imbarazzante:  “solarwinds123”. 

Sembra incredibile ma non solo questo è accaduto: secondo voi quanti e quali effetti ha provocato in termini di sicurezza la  delocalizzazione delle divisioni engineering in Bielorussia, Repubblica Ceca e Polonia? Ovvero in pieno territorio di frontiera, dove ancora non si sono spente del tutto le ceneri della guerra fredda e dove l’ambiente non si può certo dire totalmente amichevole.

Abbiamo quindi reiterate dimostrazioni di quanto poco la SolarWinds abbia preso sul serio le proprie responsabilità in termini di sicurezza per i propri clienti e di come probabilmente alla ricerca di maggiori percentuali sui profitti abbia valutato senza criterio le problematiche cui avrebbe esposto le proprie infrastrutture.

Arriviamo ad oggi.

L’esistenza di un proof of Concept dimostra la vulnerabilità di Orion, esiste infatti la possibilità di eseguire codice da remoto, eludendo il sistema di autenticazione dell’API server: in parole semplici Orion è buggato.

Ma come è possibile che una società che fornisce software ad istituzioni e multinazionali sia così “leggera” nel proteggere i propri clienti?

La risposta va cercata nella mancata applicazione di policy di sicurezza e nella ricerca dei maggiori profitti generati grazie alle delocalizzazioni.

Non è bastata la lezione del 2015 con la capitolazione dei sistemi dell’italiana Hacking Team a seguito di un attacco reso possibile da un’imperdonabile leggerezza nella definizione della password di accesso che causò un danno non solo reputazionale all’azienda, e che svelò al mondo cosa viene custodito nei server delle società di sicurezza informatica,  numerosi exploit 0 day, di cui le software house ignorano spesso l’esistenza.

Tra le più pericolose dell’epoca forse vale la pena citare Flash zero-day exploit (CVE-2015-5119) utilizzata in attacchi in Corea e Giappone , oppure la vulnerabilità del kernel di Windows (CVE-2015-2387) era presente nel modulo di gestione dei font di tipo aperto (ATMFD.dll) e poteva essere sfruttata per aggirare il meccanismo di mitigazione sandbox.

Dunque sette anni dopo si ripropone lo stesso problema, la solidità della password di accesso, unita allo stoccaggio degli exploit 0-day e alle analisi delle vulnerabilità dei clienti dell’azienda.

Ma ritorniamo all’attacco a SolarWinds.

Gli aggressori trovano strada facile per entrare nei sistemi di aggiornamento, modificano gli aggiornamenti per gli utenti, attendono che gli aggiornamenti vengano propagati; siamo tra maggio e giugno 2020 in America si vota, gli aggressori sono pazienti e determinati, attendono che vengano eseguiti gli aggiornamenti con il codice , battezzato da FireEye Sunburst, grazie al quale si aprono le backdoor per entrare nei sistemi, un deployment lento che non insospettisce nessuno, Sunsburst alla fine di giugno è pienamente operativo; inizia la seconda fase, l’escalation nei sistemi. Si aprono le nuove backdoor, e da lì la strada è spianata per l’attacco…ma prima fanno visita alla FireEye e probabilmente verificano che non risultino evidenze sull’avvelenamento degli aggiornamenti programmati, recuperano nella visita  qualche 0-day e tool utile e partono all’attacco utilizzando macchine connesse all’interno del territorio statunitense: l’elenco dei “visitati” lo si trova online,  cosa hanno trafugato probabilmente non si saprà in tempi brevi, queste le notizie dagli USA. E le ricadute per il resto del mondo? 

Intanto non dormano sonni tranquilli gli account Office 365 di Microsoft, un particolare vettore d’attacco è stato individuato ed è in grado di compromettere gli account, Microsoft e SolarWinds stanno correndo ai ripari ma il recinto è aperto anche se ancora per poco.

In Italia ? Un’azienda tra tutte spicca nell’elenco delle utilizzatrici di Orion, è la Telecom Italia, che di dati da proteggere ne ha, ma a quanto pare al momento non risultano penetrazioni al sistema nostrano. 

@Claudio Verzola