La decisione di D-Link di cessare supporto e aggiornamenti per alcuni dispositivi espone 92.000 Network Attached Storage (NAS) a possibili attacchi. Ecco come mitigare il pericolo.
Una decisione di D-Link, conosciuto produttore di soluzioni di networking, ha generato un problema di cyber security: il termine del supporto e degli aggiornamenti per certi dispositivi dello stesso brand. Questa scelta ha portato a un’esposizione a potenziali offensive di circa 92.000 Network Attached Storage (NAS), appartenenti alla medesima casa produttrice. La minaccia da combattere è una grave vulnerabilità di tipo Remote Code Execution (RCE), dunque è necessario comprendere come rispondere adeguatamente al problema, specialmente per proteggere i dispositivi orfani di supporto.
La vulnerabilità RCE permette agli aggressori di eseguire codice arbitrario sul dispositivo bersaglio, che può portare a una serie di esiti nefasti, tra cui la perdita di controllo del dispositivo stesso. Questo tipo di vulnerabilità è solitamente risolto attraverso l’applicazione di patch di sicurezza rilasciate dal produttore. Tuttavia, in questo specifico caso, il produttore ha cessato l’emissione di tali patch per una serie di suoi prodotti, ivi incluso il Network Attached Storage. Questo significa che, una volta che una vulnerabilità RCE viene scoperta su uno di questi dispositivi, non esiste un mezzo diretto fornito dal produttore per affrontarla.
Nonostante l’apparente gravità della situazione, esistono ancora delle misure praticabili che possono attenuare i rischi. Anzitutto, è possibile circondare il dispositivo vulnerabile con una serie di strumenti di protezione di rete, come firewall o sistemi di rilevamento e prevenzione delle intrusioni (IDPS). Il compito di questi strumenti è quello di bloccare, o almeno di limitare, l’accesso non autorizzato al dispositivo soggetto a rischio. Inoltre, appare fondamentale mettere in atto delle buone pratiche di settore, come l’utilizzo di reti separate per segregare il traffico di rete, il filtraggio dei pacchetti in ingresso e in uscita, e l’impiego di liste di controllo di accesso per limitare le connessioni dal e verso il dispositivo vulnerabile.
D’altro canto, in quanto la vulnerabilità RCE risiede nel software del dispositivo, una patch di sicurezza proveniente da un’altra fonte sarebbe la soluzione ideale. Ciò può essere possibile nel caso in cui il codice sorgente del software sia disponibile al pubblico. In tale situazione, la comunità di sviluppatori di software potrebbe creare una patch che risolve il problema. Purtroppo, nel caso di D-Link, non risulta che il codice sorgente sia stato pubblicato. Di conseguenza, salvo eventuali sviluppi futuri, l’applicazione di una patch di sicurezza diretta non è un’opzione percorribile.
Infine, va considerata l’opzione dell’aggiornamento dell’hardware. Nonostante salvaguardare l’investimento iniziale possa essere un’importante preoccupazione per molte organizzazioni, c’è da considerare che l’utilizzo di hardware non più supportato comporta costi occulti imprevedibili e rischia di esporre l’infrastruttura a pericoli di sicurezza. Di conseguenza, l’adozione di hardware più recente e supportato potrebbe rappresentare una scelta più sicura e razionale, dal momento che consente di beneficiare delle ultime tecnologie di protezione della rete e degli aggiornamenti di sicurezza.
In conclusione, la protezione dei dispositivi non supportati come i NAS di D-Link richiede una strategia di difesa multimodale. Nonostante la mancanza di un supporto continuativo dal produttore, gli utenti hanno ancora la possibilità di proteggere i propri dispositivi attraverso una combinazione di misure difensive di rete e di buone pratiche. In ogni caso, l’aggiornamento dell’hardware resta l’opzione più sicura e pratica per proteggere infrastrutture e dati sensibili.