Alfonso Maruccia

Switch Lenovo, la backdoor che viene da lontano

La corporation cinese svela l'esistenza di una potenziale backdoor all'interno dei suoi switch, anche il problema risale a parecchi anni fa quando la tecnologia vulnerabile faceva riferimento a tutt'altra azienda

Roma - Lenovo ha scoperto di trovarsi il verme - cioè la backdoor - in casa, una vulnerabilità classificata come CVE-2017-3765 che, in particolari condizioni, potrebbe portare alla compromissione da remoto degli switch di rete appartenenti alle linee RackSwitch e BladeCenter.

La backdoor in questione riguarda i dispositivi basati su tecnologia ENOS (Enterprise Network Operating System), è stata individuata in un audit interno sui firmware dei prodotti acquisiti da altre aziende e risalirebbe addirittura al lontano 2004.

All'epoca ENOS era un sistema gestito dalla divisione Blade Server Switch Business Unit (BSSBU) di Nortel, e sarebbe stata proprio quest'ultima ad autorizzare l'aggiunta di un accesso segreto dietro richiesta specifica di un cliente OEM di BSSBU. Il cliente in oggetto non viene indicato, anche se il modo in cui Lenovo si riferisce alla vulnerabilità ("HP backdoor") lascia davvero poco spazio all'immaginazione.
Nel 2006 BSSBU è diventata un'entità dipendente nota come BLADE Network Technologies (BNT), spiega ancora Lenovo, e la backdoor è rimasta al suo posto anche dopo l'acquisizione di BNT da parte di IBM nel 2010. Il portafoglio di prodotti BNT è stato infine acquistato dalla corporation cinese nel 2014.

Dal punto di vista Lenovo, la presenza di un meccanismo in grado di bypassare i meccanismi di autenticazione è "inaccettabile" e contraria alle pratiche industriali interne. La corporation si è pertanto impegnata a rilasciare firmware aggiornati (augurabilmente privi di porte di accesso segrete) per gli switch che usano ENOS - sia per quelli venduti direttamente da Lenovo che quelli marchiati IBM.

Alfonso Maruccia
Notizie collegate
  • AttualitàWordPress, hacker ancora all'assalto!La popolare piattaforma Web è ancora una volta al centro di una massiccia campagna malevola, un attacco teso a compromettere in massa i siti basati su WordPress per l'eventuale installazione di script per il mining di Monero
  • AttualitàWestern Digital, backdoor sui NAS My CloudI NAS di Western Digital contengono gravi falle di sicurezza, e in un caso è stata persino individuata una backdoor potenzialmente sfruttabile per creare worm o altre cyber-minacce estremamente pericolose
  • SicurezzaLenovo, bloatware con vulnerabilitàLa corporation cinese colta a distribuire laptop con un controverso software installato di default. Quel che è peggio, potenzialmente pericoloso per la sicurezza del sistema. Proprio mentre BSA dimostra la correlazione tra software pirata e rischi per l'utente
9 Commenti alla Notizia Switch Lenovo, la backdoor che viene da lontano
Ordina
  • La backdoor [...] è stata individuata in un audit interno sui firmware dei prodotti acquisiti da altre aziende e risalirebbe addirittura al lontano 2004.

    Quindi Lenovo ci dice che il firmware dei suoi switch è vecchio di almeno 14 anni. Magari l'hardware negli switch si evolve più lentamente, ma è possibile che nessuno c'habbia mai messo le mani in tutto questo tempo?
    non+autenticato
  • chi fa il diff dei firmware per vedere QUAL'E' la backdoor?Con la lingua fuori
    non+autenticato
  • Alla fine tutte le aziende produttrici fanno questo a quanto pare...
    che skifu?
    non+autenticato
  • Ma guai legali, mai. Però se lo fa UNA persina su UN computer la sbattono in galera. E alla gente va bene così, loro scendino in piazza per le scie chimiche e contro i vaccini.
    non+autenticato
  • - Scritto da: ...
    > Ma guai legali, mai. Però se lo fa UNA persina su
    > UN computer la sbattono in galera. E alla gente
    > va bene così, loro scendino in piazza per le scie
    > chimiche e contro i
    > vaccini.

    Come si fà a perseguire qualcosa che gli hanno ordinato le autorità stesse?
    non+autenticato
  • - Scritto da: Il Fuddaro
    > - Scritto da: ...
    > > Ma guai legali, mai. Però se lo fa UNA persina
    > su
    > > UN computer la sbattono in galera. E alla gente
    > > va bene così, loro scendino in piazza per le
    > scie
    > > chimiche e contro i
    > > vaccini.
    >
    > Come si fà a perseguire qualcosa che gli hanno
    > ordinato le autorità
    > stesse?
    oh si puo, si puo, codice penale alla mano, una volta diventata pubblica la cosa. (purtroppo non si fa.. ma si puo)
    A parte che qui "l'autorita'" sarebbe HP... non cosi' autorevole..
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: Il Fuddaro
    > > - Scritto da: ...
    > > > Ma guai legali, mai. Però se lo fa UNA persina
    > > su
    > > > UN computer la sbattono in galera. E alla
    > gente
    > > > va bene così, loro scendino in piazza per le
    > > scie
    > > > chimiche e contro i
    > > > vaccini.
    > >
    > > Come si fà a perseguire qualcosa che gli hanno
    > > ordinato le autorità
    > > stesse?
    > oh si puo, si puo, codice penale alla mano, una
    > volta diventata pubblica la cosa. (purtroppo non
    > si fa.. ma si
    > puo)
    > A parte che qui "l'autorita'" sarebbe HP... non
    > cosi'
    > autorevole..

    D'accordissimo con te che 'l'autorità' nello specifico sarebbe hp. Ma forse dovresti chiederti se su ordine , e di chi?
    non+autenticato
  • - Scritto da: Il Fuddaro
    > - Scritto da: bubba
    > > - Scritto da: Il Fuddaro
    > > > - Scritto da: ...
    > > > > Ma guai legali, mai. Però se lo fa UNA
    > persina
    > > > su
    > > > > UN computer la sbattono in galera. E alla
    > > gente
    > > > > va bene così, loro scendino in piazza per le
    > > > scie
    > > > > chimiche e contro i
    > > > > vaccini.
    > > >
    > > > Come si fà a perseguire qualcosa che gli hanno
    > > > ordinato le autorità
    > > > stesse?
    > > oh si puo, si puo, codice penale alla mano, una
    > > volta diventata pubblica la cosa. (purtroppo non
    > > si fa.. ma si
    > > puo)
    > > A parte che qui "l'autorita'" sarebbe HP... non
    > > cosi'
    > > autorevole..
    >
    > D'accordissimo con te che 'l'autorità' nello
    > specifico sarebbe hp. Ma forse dovresti chiederti
    > se su ordine , e di
    > chi?
    ma quello non c'entra... al max quello serve per produrre un 'nulla di fatto' alla fine... pensa in italia... caso abu omar, ustica, p2... ANCHE se "c'era l'Ordine", la merda e' stata messa in piazza...
    non+autenticato
  • - Scritto da: Mao99
    > Alla fine tutte le aziende produttrici fanno
    > questo a quanto
    > pare...
    > che skifu?
    panda caro loggati
    non+autenticato