12.07.2022 - I ricercatori del team di sicurezza del Politecnico federale di Zurigo (PFZ) hanno individuato una grave vulnerabilità nei microprocessori di Intel e AMD, che è stata denominata «Retbleed». Essa permette all’aggressore di accedere potenzialmente a qualunque area di memoria. Sono già state definite alcune misure preventive. Il Centro nazionale per la cibersicurezza (NCSC) ha assegnato alla vulnerabilità di entrambi i produttori un numero d’identificazione (CVE) valido a livello internazionale.
Per evitare che le falle di sicurezza vengano sfruttate nei sistemi informatici, è fondamentale eliminarle rapidamente e comunicare l’informazione a gestori e produttori di tutto il mondo. I ricercatori del team di sicurezza del Politecnico federale di Zurigo (PFZ) hanno individuato un’importante vulnerabilità nei microprocessori di Intel e AMD. L’NCSC le ha assegnato i numeri CVE-2022-29900 (per i processori AMD) e CVE-2022-29901 (per i processori Intel), in collaborazione e d’intesa con i ricercatori del PFZ. L’assegnazione di un numero CVE («Common Vulnerabilities and Exposure») permette di identificare in modo univoco le vulnerabilità a livello mondiale. Dato che questi processori sono in uso in tutto il mondo, la vulnerabilità è stata classificata come «grave». Nel frattempo i produttori hanno già adottato le prime misure per eliminare questa falla di sicurezza.
Il PFZ scopre e segnala la vulnerabilità
Nel primo trimestre dell’anno in corso alcuni ricercatori del PFZ e i produttori di AMD e Intel hanno scoperto e segnalato all’NCSC una vulnerabilità nei microprocessori. Sfruttando la vulnerabilità denominata «Retbleed», gli aggressori possono accedere liberamente alle aree di memoria e quindi a qualunque informazione presente nel sistema. Tale situazione è particolarmente grave negli ambienti cloud, dove vari clienti e imprese condividono infrastrutture e sistemi informatici. Secondo il team di ricercatori, la vulnerabilità potrebbe colpire con maggiore probabilità i microprocessori Intel che hanno da tre a sei anni di vita e i processori AMD con una durata di vita da uno a undici anni. La vulnerabilità è stata classificata come «grave». Tuttavia, per poterla sfruttare, i potenziali aggressori devono possedere specifiche conoscenze tecniche e poter eseguire localmente sul sistema determinati codici di programma. I produttori interessati stanno lavorando a pieno ritmo per mettere tempestivamente a disposizione apposite patch di sicurezza. Maggiori informazioni sulla vulnerabilità «Retbleed» si trovano nel documento di ricerca del PFZ.
Coordinamento da parte dell’NCSC
Nel settembre 2021 l’NCSC è stato riconosciuto dall’organizzazione di utilità pubblica MITRE come servizio autorizzato ad assegnare numeri CVE. Nel novembre 2021 l’NCSC ha assegnato per la prima volta a una vulnerabilità un numero CVE. Si trattava di una vulnerabilità hardware denominata «Blacksmith», scoperta anche in quel caso dal PFZ.
Nel frattempo l’NCSC ha pubblicato complessivamente 24 numeri CVE, di cui 20 relativi a vulnerabilità software e 4 relativi a vulnerabilità hardware. Il relativo elenco è aggiornato costantemente sul sito Internet dell’NCSC. La maggior parte delle lacune sono state segnalate all’NCSC da ricercatori in materia di sicurezza nell’ambito del programma «Coordinated Vulnerability Disclosure». In sostanza, questo programma mira a gestire in modo responsabile le vulnerabilità affinché i relativi dettagli siano resi noti soltanto dopo aver informato il produttore o le organizzazioni interessate e dopo aver approntato una soluzione corrispondente, ad esempio sotto forma di aggiornamento del prodotto.
Utilizzando l’apposito modulo online si possono segnalare all’NCSC sia vulnerabilità nei sistemi dell’Amministrazione federale sia vulnerabilità in prodotti e sistemi informatici che hanno ripercussioni sulla Svizzera. In qualità di servizio specializzato autorizzato, l’NCSC esamina, coordina e pubblica le vulnerabilità scoperte. Il suo ruolo di coordinamento è molto apprezzato dalle parti coinvolte, che spesso vi fanno capo.
Ultima modifica 12.07.2022
