I network di telecomunicazioni a rischio per il compilatore ASN.1

I dispositivi mobili e le reti di telecomunicazioni potrebbero essere a rischio di attacchi devastanti a causa di un difetto appena scoperto in un compilatore ASN.1. La vulnerabilità, scoperta in una libreria usata per programmare con lo standard di telefonia Abstract Syntax Notation One o ASN.1, è parte di un compilatore usato da moltissime aziende di telefonia. Il ricercatore Ivan Arce, che ha scoperto il difetto, ha spiegato che la vulnerabilità può consentire attacchi basati sulla memory corruption dell’heap, cosa che consentirebbe a sconosciuti di controllare le comunicazioni ed eseguire anche codice da remoto (remote code execution).

“La vulnerabilità può essere attivata senza alcuna autenticazione ed in scenari in cui il codice riceve ed analizza dati codificati con ASN.1 da sorgenti non sicure.” ha scritto Arce nel suo rapporto. Questo può includere comunicazioni tra dispositivi mobili e l’infrastruttura di telecomunicazioni, comunicazioni tra nodi dell’infrastruttura dello stesso operatore o di operatori differenti e anche comunicazioni tra endpoint non autenticati su una rete dati.

Objective Systems, che vende il compilatore ASN.1 ASN1C, ha rilasciato una patch per la vulnerabilità alla quale il CERT ha assegnato un punteggio 9.3 (CVSS). Il CERT stesso inoltre elenca tutte le aziende che possono essere interessate dal problema perchè usano quel compilatore. Aziende come Check Point, Hewlett Packard Enterprise, Honeywell, Huawei Technologies, Qualcomm e Siemens non sono interessate dal problema ma altre 30 aziende potrebbero ancora essere vulnerabili.