Black Widow o Batman? Timore hacker per i sistemi conference AMX (post aggiornato)

Stando ad un articolo pubblicato su CNN Money e rimbalzato in rete, l’advisor SEC Consult specializzato in sicurezza informatica ha scovato una doorway segreta integrata in diversi prodotti di AMX – che risponde con un aggiornamento firmware.

President Obama - conference call with AMXOltre a trattarsi di un nome di peso nel mondo delle tecnologie per il conference, AMX è nota anche per aver sempre cantato le qualità delle sue soluzioni per la loro affidabilità, essendo state ampiamente selezionate da innumerevoli aziende e organizzazioni negli Stati Uniti e in tutto il mondo, nonché in contesti particolarmente sensibili, quali gli ambiti militari e governativi. Non a caso, l’immagine scelta da CNN Money a corredo del suo articolo mostra il Presidente Obama seduto ad un tavolo di una sala riunioni, circondato dal suo staff, dal VicePresidente Biden e dal Segretario di Stato Clinton, e proviene proprio dal sito di AMX (visibile di fronte al Presidente degli Stati Uniti un pannello di controllo AMX).

A quanto pare, AMX avrebbe introdotto l’accesso backdoor nel suo sistema tramite hard-coding, quindi senza la possibilità di modifica se non tramite la ricompilazione del codice sorgente, creando un ‘account segreto’ con username e password permanenti; quindi, un hacker che riuscisse ad introdursi in un computer presente in rete, e conoscendo il codice d’accesso della backdoor, potrebbe inserirsi in una riunione in corso. Un’evidente falla della sicurezza. La SEC Consult ha individuato questo discutibile codice, descrivendo i diversi dettagli in un post del suo blog, dove viene presa in esame l’unità NX-1200)

Il particolare che ha insospettito gli analisti SEC Consulting nell’analizzare la procedura di autenticazione del controller centrale NX-1200, è una funziona chiamata ‘setUpSubtleUserAccount’ – che già dal nome potrebbe risultare abbastanza equivoca; tuttavia è proprio ciò che questa funzione esegue: crea un account user ‘subtle’ (discreto, impercettibile, nascosto). La tesi di SEC Consult, corroborata dalla screenshot delle stringhe di codice riportata di seguito, rivela un particolare definito ironicamente interessante relativo alle strategie di sicurezza di AMX. Scriviamo ‘ironicamente’ perché il nome scelto da AMX per questo ‘Subtle User Account’ è BlackWidow (personaggio dei fumetti Marvel Comics, la Vedova Nera spia dell’organizzazione spionistica e antiterroristica S.H.I.E.L.D. impersonata da Scarlett Johansson nel film The Avengers e in altri successivi). Da qui lo sfottò di SEC Consulting –  la quale ne deduce che, apparentemente, AMX abbia chiesto un aiuto extra ai supereroi Marvel per proteggere i suoi prodotti (e conseguentemente l’Esercito U.S., essendo suo cliente) dagli hacker super-cattivi.

Estratto IDAt: funzione "setUpSubtleUserAccount"

SEC Consulting insiste scrivendo che, come molti supereroi, Black Widow preferisce agire nell’ombra e senza pretendere che gli venga attribuito alcun merito per le sue azioni. Per questo motivo, AMX si è impegnata a celarne i dettagli agli occhi degli ignari e innocenti amministratori e utenti.

AMX Master Configuration Manager: backdoor account Black Widow è nascosto e non appare

Secondo degli esperti di sicurezza informatica consultati da CNN Money, si tratta di un caso di programmazione superficiale e approssimativa: questo punto d’accesso è stato probabilmente integrato allo scopo di sistemare dei problemi durante la fase di sviluppo del prodotto, ed è stato quindi lasciato accidentalmente al suo interno.

Come richiesto dalle sue politiche di Responsible Disclosure, la divisione Vulnerability Lab di SEC Consulting ha comunicato il problema all’azienda, la quale ha impiegato sette mesi (!) per correggere la falla (la SEC Consulting ha individuato il problema a inizio 2015). Purtroppo, dopo un rapido esame del nuovo firmware, l’accesso backdoor risulta ancora presente – cambia però il supereroe. Infatti l’agente Black Widow è stato rimpiazzato da un altro supereroe, questa volta della DC Comic: parliamo niente meno che di Batman – il cui nome però è stato camuffato in ‘1MB@tMaN’ (“I am Batman”).

Black Widow o Batman? Timore hacker per i sistemi conference AMX

Al di là del lato divertente, proprio per il fatto che entrambi i nomi scelti si riferiscano ai supereroi dei fumetti, fa sospettare gli esperti di cyber-security i quali si chiedono se questa backdoor non rappresenti un tentativo deliberato e volontario da parte di AMX di creare un punto d’accesso segreto.

Ad ogni modo, dopo il nuovo ‘avvistamento di Batman’ il silenzio è calato e non sono pervenute risposte ne dichiarazioni da AMX. Questo fino allo scorso 20 gennaio: AMX ha annunciato di aver rilasciato dei nuovi aggiornameti firmware per i prodotti in questione (la SEC Consult tiene comunque a precisare che ancora non ha testato le nuove versioni).

Aggiornamento

Su arstechnica.com, dove anche qui è stato segnalato il fatto, è apparso un update in cui viene riportata una dichiarazione ufficiale da parte di un rappresentante AMX:

“Innanzi tutto, ‘Black widow’ era un nome usato internamente: si tratta di un vecchio login usato per la diagnostica e la manutenzione nel supporto tecnico all’utenza. Usato solitamente in sistemi datati, non era ‘nascosto’ come viene suggerito (da Sec Consult, ndr), né tanto meno dava l’accesso alle informazione dell’utente. Sebbene questo login risultò utile per la diagnostica e la manutenzione, durante la nostra routine di controllo sulla sicurezza svolto nell’estate 2015, abbiamo deciso che sarebbe stato prudente eliminarlo come parte di un aggiornamento software complessivo. Abbiamo informato la nostra clientela e l’aggiornamento è stato distribuito nel dicembre 2015.

‘1MB@tMaN’ rappresenta un aspetto interno totalmente differente: consentiva ai dispositivi di sistema interni di comunicare. Non si trattava di un login esterno né risultava accessibile dall’esterno del prodotto. Inoltre, le capacità del dispositivo interno ‘1MB@tMaN’ non erano in relazione con la login di diagnostica “‘Black Widow’ né costituiva un suo rimpiazzo. Il solo collegamento tra le due deriva dal fatto che l’aggiornamento software che ha eliminato ‘Black Widow’ ha allo stesso tempo fornito un aggiornamento delle capacità interne di ‘1MB@tMaN’ che hanno eliminato questo nome.

Per quanto riguarda la scelta dei nomi, si tratta semplicemente di nomi scelti scherzosamente e assegnati a progetti interni, usati dai nostri programmatori senza alcuna particolare intenzione.

Noi di AMX prendiamo molto seriamente la sicurezza e testiamo continuamente i nostri sistemi e le loro capacità, sviluppando aggiornamenti sempre più sofisticati.

Potrebbero interessarti anche...

Iscriviti alla newsletter di SystemsIntegration.it!
Le novità, gli aggiornamenti e gli approfondimenti su tutto ciò che riguarda il mondo dell'integrazione di sistemi, AV e networking!

Grazie per esserti iscritto/a!

...mmmh, qualcosa è andato storto.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Iscriviti alla newsletter di SystemsIntegration.it!
Le novità, gli aggiornamenti e gli approfondimenti su tutto ciò che riguarda il mondo dell'integrazione di sistemi, AV e networking!

Grazie per esserti iscritto/a!

...mmmh, qualcosa è andato storto.