Roma – Quando il celebre Tutsomu Shimomura ha avvertito della presenza di una backdoor nei modem ADSL di Alcatel, l’azienda ha reagito stizzita. Ma ora, dopo gli avvertimenti agli utenti dei modem incriminati apparsi su SecurityFocus.com, arriva una “scomunica” contro Alcatel ben più autorevole, quella del CERT, il centro di coordinamento per la gestione delle emergenze tecnologiche della Carnegie Mellon University americana, un centro finanziato direttamente dal Governo degli Stati Uniti.
In un advisory ufficiale , il CERT afferma che i modem ADSL di Alcatel consentono accesso non autenticato via TFTP (Trivial File Transfer Protocol) in ambiente di rete locale, LAN. Questo lo si deve, spiegano al CERT, ad un metodo pensato per aggiornare il firmware nei modem e modificare la configurazione del device. Il problema è che, se associato ad altre comuni vulnerabilità di sistema, il modem potrebbe essere utilizzato da un aggressore esterno per accedere in modo non autenticato al sistema “vittima”.
“Per esempio – affermano i ricercatori del CERT – se un sistema che si trova in rete locale con il modem ADSL ha abilitato i servizi UDP echo, un aggressore da remoto potrebbe essere in grado di mascherare pacchetti dati in modo da far credere al modem ADSL che quel traffico è originato dalla rete locale”. “Inviando un pacchetto – specifica l’advisory del CERT – al servizio UDP echo con una porta sorgente mascherata di 69 (TFTP) e un indirizzo di origine 255.255.255.255, il sistema che fornisce il servizio echo viene spinto ad inviare un pacchetto TFTP al modem ADSL”.
Naturalmente, spiegano al CERT, se un sistema che offre questo servizio è accessibile da Internet può diventare possibile attaccare un modem ADSL dall’esterno. Una eventualità che Alcatel aveva negato. “Qualsiasi meccanismo – continuano al CERT – utilizzato per far rimbalzare i pacchetti UDP sul lato LAN del network a cui è connesso il modem può consentire un attacco remoto per prendere possesso dell’accesso TFTP al device. Questo si traduce nella possibilità, per chi attacca, di prendere possesso completo del device”.
Secondo gli esperti, questo genere di attacco consentirebbe all’autore di: verificare i dati e configurare il device, recuperare le password e riconfigurarle a piacere, modificare il firmware anche con aggiornamenti distruttivi.
Se questo può accadere, è anche perché “i modem ADSL di Alcatel non posseggono alcun sistema per determinare la validità di un aggiornamento firmware”. Questo significa, per esempio, che si potrebbe “installare” sul sistema vittima un tool per trasformarlo in un trampolino di lancio per attacchi di tipo DoS (Denial of Service). Oppure per “soffiare password” o, ancora, per disabilitare completamente il modem tanto da costringere l’utente a riportarlo al venditore…
Tra gli altri bug rilevati dal CERT c’è anche quello relativo all’account EXPERT, un account specializzato pensato da Alcatel per consentire l’accesso ai privilegi di gestione del modem. Secondo il CERT, l’algoritmo che protegge la password non è abbastanza potente e qualsiasi aggressore che conosca l’algoritmo utilizzato per cifrare la risposta potrebbe decifrare quella corretta “utilizzando le informazioni che vengono fornite durante il procedimento di login”.
“Qualsiasi problema o vulnerabilità – spiegano al CERT – sulla rete interna che consente ad un aggressore di comunicare con il modem può portare all’aggressione, incluso l’inserimento di cavalli di Troia, di altri sistemi o di altre vulnerabilità”.
Una parziale soluzione ai molti bug individuati dal CERT sta nel configurare una password che di default non è attivata. “Purtroppo – spiegano al CERT – questo non significa proteggersi da tutte le aggressioni”.
Con un firewall installato sul proprio sistema si può aumentare la protezione, in particolare filtrando uno o tutte le seguenti tipologie di traffico dati: pacchetti con indirizzi di partenza spoofati, pacchetti con indirizzi di partenza uguali a 255.255.255.255, pacchetti con una porta di destinazione echo o altri servizi semplici.
Il CERT avverte anche che se l’aggressore parte dall’interno della LAN, come può accadere in ambito aziendale, l’accesso non autenticato TFTP può essere ottenuto anche in modi diversi da quelli descritti.
Alcatel per il momento sembra decisa a fare il pesce in barile. In Australia, la divisione locale che fornisce questi modem a Telstra ha spiegato che sta al provider configurarli al meglio per le reti dei clienti.