Lunedi 06 Luglio 2026 12:00:25 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Vulnerabilities & Patch Management

Fantasma nella VPN: come un bug di strongSwan vecchio di 15 anni permette agli hacker di mandare in tilt le reti aziendali

Pubblicato: 01 Aprile 2026 13:34Categoria: Vulnerabilities & Patch ManagementAutore: SECPULSE

Sottotitolo: Una svista matematica vecchia di decenni nel software VPN di strongSwan apre la porta agli attaccanti per far crollare reti sicure con un singolo pacchetto, abilmente costruito.

È iniziato come un giorno qualunque per il team IT-finché la VPN aziendale non è crollata senza preavviso, lasciando i dipendenti bloccati fuori e il management a caccia di risposte. Il colpevole? Non un’arma cyber all’avanguardia, ma un bug quasi dimenticato annidato in strongSwan, una delle piattaforme VPN open-source più affidabili al mondo. Grazie a un semplice errore di matematica scritto oltre 15 anni fa, oggi gli attaccanti possono trasformare una piccola svista in una grande interruzione, e la maggior parte delle organizzazioni non l’ha vista arrivare.

Un vecchio bug con un nuovo impatto

strongSwan è una colonna portante per molte VPN aziendali e governative, apprezzata per affidabilità e trasparenza. Ma secondo una nuova ricerca di Bishop Fox, un difetto introdotto per la prima volta oltre un decennio fa può oggi essere trasformato in un’arma capace di mandare in crash intere reti. Il bug resta silenzioso nel plugin EAP-TTLS-un’estensione di autenticazione che molte organizzazioni usano per proteggere l’accesso remoto.

Il cuore del problema è un underflow di interi-un classico errore di programmazione in cui il software sottrae un numero più grande da uno più piccolo. In questo caso, quando un hacker invia un messaggio minuscolo (per esempio, 1 byte) a un server che si aspetta almeno 8 byte, il risultato non diventa negativo. Invece, “fa il giro” e si trasforma in un numero positivo gigantesco, inducendo la funzione di allocazione della memoria del server a tentare di riservare fino a 18 exabyte di RAM-un’impresa impossibile per qualunque macchina.

Ma l’attacco non fa scattare subito gli allarmi. Il pacchetto malevolo corrompe la gestione della memoria del server (l’heap), ma la VPN continua a funzionare-almeno per il momento. Il vero caos esplode solo quando l’utente successivo prova a connettersi, innescando un crash ritardato del demone charon (il motore software che alimenta la VPN). Questo “attacco fantasma” in due passaggi rende un incubo risalire alla causa per i difensori, che potrebbero non collegare mai il pacchetto malevolo iniziale all’interruzione che arriva dopo.

Chi è a rischio-e cosa fare

Non tutte le installazioni di strongSwan sono vulnerabili: il difetto colpisce solo i sistemi con il plugin EAP-TTLS abilitato e configurato per accettare connessioni IKEv2. Tuttavia, con configurazioni di questo tipo comuni negli ambienti enterprise, il potenziale di interruzione su larga scala è reale. La correzione è semplice ma urgente: aggiornare a strongSwan versione 6.0.5 o più recente. Per chi non ha bisogno di EAP-TTLS, disabilitare il plugin è una misura temporanea intelligente.

Bishop Fox ha rilasciato uno strumento di test che consente agli amministratori di verificare la propria esposizione senza rischiare un crash, offrendo un’ancora di salvezza cruciale per chi non è sicuro che i propri sistemi siano a rischio. Come sempre, vigilanza e patch tempestive restano la migliore difesa contro vecchi bug con nuove conseguenze.

Nella cybersecurity, gli errori di ieri possono diventare i disastri di domani. L’attacco fantasma di strongSwan è un monito sobrio: a volte, le minacce più pericolose sono quelle nascoste in piena vista, in attesa che qualcuno faccia i conti.

WIKICROOK

  • Underflow di interi: l’underflow di interi si verifica quando un calcolo scende sotto il valore minimo di un intero, causando risultati inattesi e potenziali vulnerabilità di sicurezza nel software.
  • EAP: EAP è un framework di protocolli che abilita diversi metodi di autenticazione per l’accesso sicuro alla rete, ampiamente usato nel Wi‑Fi e negli ambienti enterprise.
  • Heap: l’heap è una regione di memoria per l’allocazione dinamica, spesso presa di mira negli attacchi informatici a causa di una gestione della memoria impropria o di vulnerabilità.
  • Demone Charon: il demone Charon è il processo principale di strongSwan per la gestione delle connessioni VPN, occupandosi di autenticazione, scambio di chiavi e creazione di tunnel sicuri tramite IKEv2.
  • IKEv2: IKEv2 è un protocollo che configura e gestisce in modo sicuro le connessioni VPN scambiando chiavi di cifratura e autenticando i dispositivi su internet.