Tempo fa Swascan, sfruttando le competenze del suo Cyber Security Research Team, ha svelato e segnalato le vulnerabilità di Adobe, Microsoft e Lenovo. In questa occasione invece sono state individuate criticità in alcune Web application di Huawei.

Gli esperti di Swascan hanno identificato alcuni problemi sia sull’infrastruttura, sia sulle Web app del vendor cinese specializzato nella produzione di sistemi e di soluzioni di rete e telecomunicazioni.

Si tratta di vulnerabilità di livello critical, come emerso dal Responsible Vulnerability Disclosure conseguente all’individuazione, tali cioè da impattare business continuità, sicurezza di dati e informazioni degli utenti e regolare l’attività dei servizi.

A seguito della scoperta Swascan ha contattato Huawei per informare l’aziende sulle vulnerabilità identificate e collaborare alla remediation. 

Nel dettaglio le vulnerabilità scoperte appartengono alle categorie Cwe (Common Weakness Enumeration) 119, 125 e 78. Nel primo caso (Cwe-119, Improper Restriction of Operations within the Bounds of a Memory Buffer) il software, autorizzato ad eseguire operazioni su un buffer di memoria, si trova a poter leggere o scrivere in una posizione di memoria al di fuori dei confini assegnati.

Questo implica che se la memoria accessibile dall’attaccante può essere controllata, può essere possibile anche l’esecuzione di codice arbitrario, e se l’attaccante può sovrascrivere la memoria di un puntatore (di solito 32 o 64 bit), sarà in grado anche di reindirizzare un puntatore di funzione al proprio codice dannoso. Anche quando l’attaccante può modificare solo un singolo byte, l’esecuzione arbitraria del codice è possibile.

Nel caso Cwe-125 invece il software ha capacità di lettura oltre la fine o prima dell’inizio del buffer previsto. Non ci sono possibilità di altre manomissioni ma chiaramente sono esposte informazioni sensibili.

Un esempio tratto dal sito Cwe

Infine con la vulnerabilità Cwe-78, ovvero di Os Command Injection, Swascan spiega cosa accade in questo modo: il software costruisce tutto o parte di un comando Os utilizzando input influenzati dall’esterno da un componente upstream, ma non neutralizza o neutralizza in modo errato elementi speciali che potrebbero modificare il comando previsto quando viene inviato a un componente a valle.

Gli aggressori potrebbero eseguire comandi non autorizzati, poi utilizzati per disabilitare il software o per leggere e modificare dati ai quali l’aggressore non ha il permesso di accedere.

Poiché l’applicazione mirata esegue direttamente i comandi al posto dell’aggressore, qualsiasi attività dannosa può sembrare che provenga dall’applicazione o dal proprietario dell’applicazione.

© RIPRODUZIONE RISERVATA