Swascan, la Cyber Security Company italiana fondata nel 2016 da Raoul Chiesa e Pierguido Iezzi, ha da poco portato alla luce alcune vulnerabilità di Web Application e server del colosso cinese Huawei, mettendo in risalto l’importanza della cooperazione in materia di sicurezza online.
Già in passato Swascan, che per chi non la conoscesse è la prima piattaforma cloud-based di Cybersecurity Testing nostrana che permette di identificare, analizzare e risolvere le vulnerabilità dei siti web e delle infrastrutture informatiche, aveva avuto il merito di scoprire, grazie al lavoro svolto dal suo Cyber Security Research Team, vulnerabilità di aziende importanti del calibro di Adobe, Microsoft e Lenovo. In tempi più recenti è stato il turno di Huawei, altro nome senza dubbio pesante nel campo della produzione di sistemi e di soluzioni di rete e telecomunicazioni. Le vulnerabilità scoperte vengono classificata da Swascan come critical, vale a dire che, se adeguatamente sfruttate da Criminal Hacker, avrebbero potuto impattare la Business continuity, la sicurezza di dati e informazioni degli utenti e finanche la regolare attività dei servizi.
Naturalmente, non appena le vulnerabilità sono state portate alla luce, il team dell’azienda italiana si è subito messo in contatto con Huawei per organizzare una forma di collaborazione dedicata. Riguardo a questo Pierguido Iezzi, co-fondatore di Swascan ha detto:
“Nel mondo della Cyber security si sta affermando finalmente il principio della collaborazione. I rischi aumentano di “n” volte di anno in anno e a fronte di questo si è reso necessario un Paradigm Shift culturale oltre che tecnologico. La nostra esperienza con Huawei dimostra che se recepiti correttamente questi valori possono essere un’ulteriore colonna portante per creare un Cyber Security Framework efficace ed efficiente“.
Insomma, per fronteggiare in maniera seria ed efficace è necessario il concorso di più fattori: in primis che l’azienda stessa si doti di un’infrastruttura informatica sicura e di un personale qualificato e, in secondo luogo, che a questi si uniscano le competenze che sono una prerogativa degli esperti di cyber security.
Per quanto riguarda l’analisi dettagliata delle vulnerabilità di Huawei scoperte da Swascan, queste vengono ricondotte alle categorie Confidentiality, Integrity e Availability. Ecco come Swascan le ha spiegate nel dettaglio:
- CWE-119 (Improper Restriction of Operations within the Bounds of a Memory Buffer): Il software esegue operazioni su un buffer di memoria, ma può leggere o scrivere in una posizione di memoria che si trova al di fuori del confine previsto del buffer. Se la memoria accessibile dall’attaccante può essere efficacemente controllata, può essere possibile eseguire codice arbitrario, come nel caso di un buffer overflow standard. Se l’attaccante può sovrascrivere la memoria di un puntatore (di solito 32 o 64 bit), sarà in grado di reindirizzare un puntatore di funzione al proprio codice dannoso. Anche quando l’attaccante può modificare solo un singolo byte, l’esecuzione arbitraria del codice è possibile. A volte questo è dovuto al fatto che lo stesso problema può essere sfruttato ripetutamente con lo stesso effetto. Altre volte è perché l’aggressore può sovrascrivere dati critici per la sicurezza specifici di un’applicazione – come un flag che indica se l’utente è un amministratore.
- CWE-125 (Out-of-bounds Read): Il software legge i dati oltre la fine, o prima dell’inizio, del buffer previsto. In genere, questo può consentire agli aggressori di leggere informazioni sensibili da altre posizioni di memoria o causare un crash.
- CWE-78 (OS Command Injection): Il software costruisce tutto o parte di un comando OS utilizzando input influenzati dall’esterno da un componente upstream, ma non neutralizza o neutralizza in modo errato elementi speciali che potrebbero modificare il comando OS previsto quando viene inviato a un componente a valle. Gli aggressori potrebbero eseguire comandi non autorizzati, che potrebbero essere utilizzati per disabilitare il software o per leggere e modificare dati per i quali l’aggressore non ha il permesso di accedere direttamente. Poiché l’applicazione mirata esegue direttamente i comandi al posto dell’aggressore, qualsiasi attività dannosa può sembrare che provenga dall’applicazione o dal proprietario dell’applicazione.