Recentemente è emersa una vulnerabilità significativa nel software Open Policy Agent (OPA) di Styra che ha destato preoccupazioni nel campo della sicurezza informatica. Questa falla, identificata con il codice CVE-2024-8260, è stata scoperta e successivamente risolta, ma solleva importanti questioni riguardo alla sicurezza dei dati sensibili. La vulnerabilità consentiva il potenziale furto di hash NTLM da parte di attaccanti remoti, mettendo a rischio le credenziali degli utenti.

Il problema risiedeva principalmente in un'inadeguata convalida degli input che poteva permettere l'accesso non autorizzato alle informazioni sensibili. In particolare, l'hash Net-NTLMv2 dell'utente loggato nel dispositivo Windows che eseguiva l'applicazione OPA poteva essere esposto. Questo tipo di attacco richiedeva che la vittima fosse in grado di iniziare traffico SMB (Server Message Block) in uscita sulla porta 445, una condizione che, sebbene non comune, è comunque possibile in specifici contesti aziendali.

Prerequisiti dell'attacco

Tra i prerequisiti necessari per l'attacco, vi era la necessità di ottenere un accesso iniziale all'ambiente o di manipolare un utente per eseguire il comando OPA CLI usando un percorso UNC anziché un file rego standard. Una volta catturata la credenziale, questa poteva essere utilizzata per eseguire attacchi relay o per decifrare offline la password, aumentando così il rischio di compromissione.

La vulnerabilità è stata segnalata in modo responsabile e risolta con l'aggiornamento alla versione 0.68.0 del software, rilasciato il 29 agosto 2024. Questa patch ha eliminato la vulnerabilità, riducendo il rischio associato a questa falla di sicurezza. Tuttavia, questo incidente sottolinea l'importanza di mantenere aggiornati i software, specialmente quelli open-source, per evitare esposizioni indesiderate.

Inoltre, la scoperta della vulnerabilità ha coinciso con un'altra rilevante rivelazione da parte di Akamai, riguardante un difetto di escalation dei privilegi nel servizio Microsoft Remote Registry. Questa vulnerabilità, anch'essa legata al protocollo NTLM, è stata affrontata da Microsoft nel tentativo di migrare verso il più sicuro protocollo Kerberos.

Questi eventi evidenziano la continua necessità di vigilanza e aggiornamento da parte delle aziende per proteggere i loro sistemi e dati da possibili attacchi informatici. Mentre i protocolli di sicurezza si evolvono, è essenziale che le organizzazioni adottino misure proattive per garantire la sicurezza delle loro infrastrutture digitali.