Tutti sperano che si tratti di un caso estremo, ma l'idea che l'unico modo per risolvere una vulnerabilità di un dispositivo di rete - e di sicurezza, poi - sia sostituire in blocco l'apparato può lasciare leggermente perplessi, per usare un eufemismo. Anche perché parliamo di un prodotto con un brand ampiamente riconosciuto, non di qualche oscuro clone cinese.

Chi segue la cronaca della sicurezza ha già capito che parliamo del caso Barracuda. Qualche tempo fa il vendor di prodotti per la cybersecurity ha comunicato che le appliance ESG (Email Security Gateway) erano vulnerabili a un attacco di remote command injection. Tre malware - battezzati Saltwater, Seaside e Seaspy - in sinergia possono sfruttare una vulnerabilità delle ESG per - è stato documentato in qualche caso - esfiltrare dati dalla rete bersaglio.

Barracuda ha identificato il problema, coinvolto Mandiant per le investigazioni del caso e poi distribuito una patch software che sembrava risolvere la questione. Le cose sono drasticamente cambiate qualche giorno dopo il rilascio della patch, quando Barracuda ha sostanzialmente ammesso che il problema non era risolvibile via patching.

Lo scorso 6 giugno Barracuda ha comunicato che l'unica remediation raccomandata era la sostituzione integrale delle appliance ESG compromesse. Una segnalazione che non è stata corredata di dettagli tecnici ulteriori ma che lascia pensare che gli attaccanti abbiano creato un malware capace di modificare anche il firmware stesso delle appliance ESG, rendendo persistente la loro presenza. O quantomeno quella delle backdoor che creano.

Il problema non è di poco conto per i responsabili della sicurezza. Se già l'attività di patching tradizionale non è effettuata quanto si dovrebbe perché crea comunque qualche disagio, anche solo potenziale, all'operatività dei sistemi, figuriamoci il dover sostituire in blocco, e in fretta, un'appliance di sicurezza. Il problema non è economico - Barracuda si occupa del replacement con una nuova appliance fisica o virtuale - ma logistico.

Il caso Barracuda è preoccupante e simbolico anche per altri aspetti. Il principale è che una sequenza di malware "stealth" e persistenti come quelli che hanno colpito le ESG è stata sviluppata con tutta probabilità, secondo alcuni esperti di sicurezza, da uno state-sponsored actor e non da un semplice gruppo ransomware. Quest'ultimo non avrebbe bisogno di nascondere così bene le sue azioni.

Questo significa che esiste almeno un gruppo di hacker ostili che si è sforzato di sviluppare forme di attacco di basso livello per compromettere dispositivi di rete. In questo modo, nel caso delle appliance Barracuda, ha potuto esfiltrare la posta elettronica delle aziende colpite per, potenzialmente, circa sei mesi. E ha anche potenzialmente intercettato le credenziali degli utenti collegati ai servizi dell'appliance stessa. Credenziali che, non a caso, Barracuda ora consiglia di cambiare.

Al momento non è affatto chiaro quanto il modus operandi dell'attacco ai danni delle appliance ESG possa essere replicato con altri tipi di prodotti hardware. Di certo una vulnerabilità così profonda e persistente del "ferro" colpisce più di una normale violazione di moduli puramente software. C'è solo da sperare che non sia una nuova moda di successo.