ALLA FACCIA DELLA CYBER SICUREZZA - L'AZIENDA "PALOALTO NETWORKS", LEADER MONDIALE NEL SETTORE DELLA DIFESA DI COMPUTER, SERVER E RETI, HA AMMESSO UNA FALLA NELLA SUA PIATTAFORMA “CORTEX” CHE METTE NEI GUAI CHI L'AVEVA INSTALLATA - GLI HACKER POTREBBERO FARE DI TUTTO, ANCHE RUBARE INFORMAZIONI SUI PIANI D’AZIONE DI DIFESA INFORMATICA DEL SISTEMA PRESO A BERSAGLIO...
Umberto Rapetto per www.infosec.news
C’è chi lo considera una specie di tallone d’Achille: un punto debole tanto inaspettato quanto letale mette in allarme chi aveva pensato di dormire sonni tranquilli grazie all’installazione della piattaforma “Cortex” che – mitologia a parte – era considerata “immortale”.
A mettere tutti in allerta è stata la stessa PaloAlto Networks, leader mondiale nel settore della cybersecurity, che ha provveduto a diramare un suo bollettino che spiega la dolorosa constatazione di vulnerabilità etichettando il problema con la sigla CVE-2021-3044.
Il “problemino”, se lo si vuole considerare tale (e tale non è), si traduce in una significativa opportunità per i malintenzionati che possono ottenere indebitamente una autorizzazione all’accesso che permette loro di accedere al server su cui “gira” Cortex XSOAR, ovvero il presidio di sicurezza.
La sigla SOAR, non a caso, sta per “security orchestration, automation and response” e quindi racchiude l’intero ciclo biologico delle iniziative da porre in essere per garantire la protezione di un sistema informatico.
Un’espressione non solo commerciale, ma la reale descrizione delle funzionalità che questa soluzione dovrebbe essere in grado di offrire con estrema affidabilità a chi la installa confidando nella centralizzazione delle attività di tutela.
Per avere contezza che non si tratta di una bazzecola è sufficiente sapere che la gravità è di 9,8 su 10 sulla “CVSS vulnerability scale”, quella che viene considerata la scala Mercalli o quella Richter per i “terremoti” informatici.
Considerato che “Cortex XSOAR” è una piattaforma difensiva di cybersecurity utilizzata in una vasta gamma di situazioni, la circostanza non è affatto rassicurante. In pratica è come se fosse passata al nemico la “sentinella” preposta all’’automazione delle operazioni di sicurezza, al management per l’intelligence sulle minacce in arrivo o già incombenti, alle procedure di contrasto e ripristino per gli attacchi ransomware, al coordinamento della sicurezza delle risorse in cloud.
Cortex è oggettivamente una soluzione molto ben integrata perché implementa anche flussi di lavoro automatizzati, schemi di intervento in risposta alle aggressioni, dinamiche di collaborazione tra i diversi team coinvolti, costituendo una sorta di scudo per aziende e grandi organizzazioni.
Purtroppo se gli assalitori riescono a mettere virtualmente piede nella cosiddetta War Room (ovvero la stanza dei bottoni, la sala operativa di controllo), per loro diventa un gioco da ragazzi, eseguire indebitamente comandi e avviare procedure automatizzate dagli effetti deleteri.
In parole povere possono potenzialmente fare di tutto, ad esempio andando a sovvertire il monitoraggio e ogni attività di indagine di sicurezza fino a quel momento in corso di esecuzione o avendo modo di rubare informazioni sui piani d’azione di difesa informatica del sistema preso a bersaglio.
PaloAlto Networks asserisce di non aver notizia di eventuali intrusioni che abbiano sfruttato questa vulnerabilità. Può darsi, ma anche l’oste sostiene che il vino che sta mescendo sia genuino.
