Il bug c’è, la patch pure, ma non se ne può parlare liberamente. In una dichiarazione rilasciata alla testata online The Register , IBM ha dichiarato che “anche se la patch è già disponibile, molte organizzazioni non sono in grado di applicarle immediatamente”, aggiungendo poi: “Pur non essendo la normale prassi per IBM, nel caso specifico abbiamo chiesto che non venissero rivelati alcuni dettagli allo scopo di proteggere gli utenti vulnerabili e fornire loro il tempo necessario ad applicare la patch”. Nella fattispecie, Big Blue si riferisce alla vulnerabilità che concerne il suo Server Application WebSphere scoperta da Maurizio Agazzini, ricercatore nel campo della web security, e da lui sfruttata all’interno di un exploit di cui ha pubblicato successivamente un Proof-of-Concept (PoC) del codice con la comunicazione dell’esistenza di una vulnerabilità nel prodotto IBM, versioni 7.8, 8.5 e 9 .
La pubblicazione dei PoC è molto importante, in quanto forniscono ai ricercatori (e agli stessi fornitori, in questo caso IBM) le conoscenze e le risorse necessarie per analizzare ulteriormente la vulnerabilità, porvi rimedio e impedire la realizzazione di exploit che possano sfruttarla per creare danni o per azioni illegali.
Maurizio Agazzini ha collaborato con IBM per risolvere il problema e per divulgare la propria scoperta in maniera responsabile, anche se, come ammesso dal gigante tecnologico, ha subito una specie di oscuramento del suo lavoro anche in seguito al rilascio della patch . Se da un lato la preoccupazione di Big Blue per la sorte dei propri clienti è lodevole, dall’altra questa riservatezza può rivelarsi dannosa per il futuro. Questo tipo di azioni possono infatti scoraggiare i ricercatori indipendenti, come Maurizio Agazzini, nel proseguire nella ricerca di vulnerabilità: cosa che finirebbe per ripercuotersi negativamente sulle stesse aziende.
Sul piano propriamente tecnico, la vulnerabilità si verificherebbe nel momento in cui WebSphere tenta di deserializzare dati non attendibili in presenza del cookie WASPostParam , esponendo l’Application Server ad attacchi di tipo Denial-of-Service (DoS) o all’esecuzione di codice da remoto, con conseguenti danni per il server e la rete dell’azienda attaccata. Al momento della comunicazione della scoperta, la scorsa settimana, Agazzini aveva incluso nella divulgazione i collegamenti ad un pacchetto di exploit che sfruttano la vulnerabilità, pubblicati dopo il rilascio da parte di IBM della patch che risolveva il problema evidenziato. Non soddisfatto, il gigante statunitense ha chiesto ad Agazzini un’autocensura che eliminasse i dettagli necessari all’exploit per sfruttare la vulnerabilità. La richiesta di IBM è stata inoltre rivelata su Twitter da parte di un collega di Agazzini, che ha pubblicato una parte del testo contenuto nell’email inviata da Big Blue al ricercatore.
IBM trying to censor researchers in 2016 deserves to be publicly shamed 🙊 pic.twitter.com/a8iYoUbeu5
– raptor (@0xdeadb) 13 ottobre 2016
Anche se non si può parlare di “pressioni” esplicite, tenendo conto della collaborazione durata circa due mesi, si tratta comunque di un’azione poco lungimirante: mancare di fornire tutti i dettagli può ritorcersi contro l’intero ambiente, poiché come detto potrebbe mancare la motivazione a proseguire nel debug del codice conto terzi, ma soprattutto perché non permette a tutti gli addetti ai lavori di farsi un’idea precisa del problema che si trovano ad affrontare.
Thomas Zaffino