Il Cyber Security Team della società italiana Swascan ha scoperto 9 vulnerabilità relative ai server dell’infrastruttura informatica di Lenovo.
Lenovo Group Limited, è la nota multinazionale cinese che produce e vende personal computer, tablet, smartphone, workstation, server, dispositivi di archiviazione elettronici, software di gestione IT e televisori intelligenti.
Swascan è l’azienda italiana di Cyber Security fondata da Raoul Chiesa e da Pierguido Iezzi. Swascan è la prima piattaforma di CyberSecurity Testing che permette di identificare, analizzare e risolvere le vulnerabilità dei siti web e dell’infrastruttura informatica. L’azienda poche settimane fa, grazie al suo Cyber Security Research Team, era già stata in grado di svelare le vulnerabilità di Adobe e Microsoft
Nel dettaglio, su Lenovo, sono state identificate 9 vulnerabilità distribuite per i livelli di rischio come segue:
- High 2;
- Medium 7.
Queste vulnerabilità, se sfruttate, avrebbero facilmente potuto impattare l’integrità, la disponibilità e la confidenzialità dei sistemi.
Per questo motivo Swascan ha immediatamente contattato il dipartimento di Security Lenovo con cui è iniziata una collaborazione proficua che ha portato alla risoluzione delle vulnerabilità identificate.
Le Vulnerabilità di Lenovo
Le vulnerabilità identificate e risolte facevano riferimento a:
- CWE-476: Una dereferenza del puntatore NULL si verifica quando l’applicazione dereferenzia un puntatore che si aspetta di essere valido, ma è NULL, causando tipicamente un incidente o un’uscita.
- CWE-119: Il software esegue operazioni su un buffer di memoria, ma può leggere o scrivere in una posizione di memoria che si trova al di fuori del confine previsto del buffer. Se la memoria accessibile dall’attaccante può essere efficacemente controllata, può essere possibile eseguire codice arbitrario, come nel caso di un buffer overflow standard. Se l’attaccante può sovrascrivere la memoria di un puntatore (di solito 32 o 64 bit), sarà in grado di reindirizzare un puntatore di funzione al proprio codice dannoso. Anche quando l’attaccante può modificare solo un singolo byte, l’esecuzione arbitraria del codice è possibile. A volte questo è dovuto al fatto che lo stesso problema può essere sfruttato ripetutamente con lo stesso effetto. Altre volte è perché l’aggressore può sovrascrivere dati critici per la sicurezza specifici di un’applicazione – come un flag che indica se l’utente è un amministratore.
- CWE-416: Fare riferimento alla memoria dopo che è stata liberata può causare l’arresto anomalo di un programma, utilizzare valori imprevisti o eseguire codice estraneo.
- CWE – 78: Il software costruisce tutto o parte di un comando OS utilizzando input influenzato dall’esterno da un componente a monte, ma non neutralizza o neutralizza in modo errato elementi speciali che potrebbero modificare il comando OS previsto quando viene inviato a un componente a valle.
- CWE-20: Il prodotto non convalida o convalida erroneamente gli input che possono influenzare il flusso di controllo o il flusso di dati di un programma. Quando il software non convalida correttamente l’input, un aggressore è in grado di crearne in una forma che non è prevista dal resto dell’applicazione. Questo porterà parti del sistema a ricevere input non intenzionali, che possono comportare un flusso di controllo alterato, un controllo arbitrario di una risorsa o un’esecuzione arbitraria del codice.
- CWE-287: Quando un attore dichiara di avere una determinata identità, il software non prova o prova in modo insufficiente che la dichiarazione è corretta. Questo può essere il risultato delle vulnerabilità da SQL injection e di altri problemi.
Swascan e Lenovo
In linea con lo spirito e gli obiettivi di Swascan, questo comunicato non ha lo scopo di discutere o sviscerare le vulnerabilità identificate (nel caso ci fosse interesse per i dettagli, è possibile contattare direttamente Swascan). Lo scopo di questo articolo, invece, è quello di spostare l’attenzione sull’importanza di una collaborazione reale tra i vendor e aziende di CyberSecurity.
L’attenzione che Lenovo ha dimostrato verso le nostre scoperte, unitamente agli scambi di e-mail, le valutazioni, le attività di remediation e i tempi di risoluzione sono stati tra i più seri, professionali e trasparenti che abbiamo potuto testimoniare nelle nostre carriere: complimenti agli esperti di security, i reverse engineer e i programmatori che lavorano a Lenovo. Questa fattispecie ha rispecchiato perfettamente il bisogno di una collaborazione tra le aziende di sicurezza informatica (Swascan) e i software vendor (il team di Lenovo).
I CERT e i PSIRT hanno un ruolo fondamentale nell’ecosistema della sicurezza nel mondo digitale in cui viviamo. La nostra speranza è quella di trovare sempre più team preparati, proprio come il team di Lenovo PSIRT che ha mostrato un comportamento esemplare oltre a elevata considerazione e cura verso i propri clienti.