Aggiornamenti recenti Aprile 24th, 2024 2:00 PM
Ago 26, 2019 Marco Schiaffino Attacchi, Hacking, In evidenza, Malware, News, RSS 1
Il bello del mondo della sicurezza informatica è che ci sono dei meccanismi che funzionano sempre nello stesso modo. Uno di questi riguarda il fatto che dopo una conferenza internazionale in cui vengono rese pubbliche vulnerabilità e nuove tecniche di attacco, i pirati informatici iniziano a sfruttarle a tempo di record.
Questo mese, di conferenze ce ne sono state due. Oltre al Def Con di Las Vegas, si è tenuto infatti anche il Black Hat USA 2019. In entrambi, inutile dirlo, sono emerse numerose tematiche e una grandinata di vulnerabilità.
Naturalmente sono state tutte (o quasi) comunicate in modo “responsabile” affinché produttori e sviluppatori potessero mettere mano ai codici per correggere le falle di sicurezza rese pubbliche. Ma come sappiamo, tra la disponibilità di un aggiornamento e la sua effettiva implementazione ne passa un po’.
I pirati informatici lo sanno benissimo e nello scorso week-end hanno cominciato a darsi da fare, prendendo di mira in particolare tre prodotti utilizzati a livello enterprise: il sistema di controllo remoto Webmin e le VPN FortiGate e Pulse Secure.
“This week’s attacks against Webmin, Pulse Secure, and Fortinet FortiGate are some of the worst this year, not because of volume, but because of the sensitive nature of the systems they target.”https://t.co/nVZTXQ6FW2
— Bad Packets Report (@bad_packets) August 25, 2019
Webmin è uno strumento di gestione che permette di controllare in remoto sistemi Linux e Unix, diventato protagonista al Def Con quando il ricercatore turco Özkan Mustafa Akkuş ha svelato al mondo che nel programma si nasconde una backdoor.
Akkuş, nel dettaglio, ha spiegato che la backdoor è stata inserita nel programma in seguito a un attacco che ha preso di mira direttamente il pacchetto di installazione del programma e che è passata inosservata per più di un anno.
La vulnerabilità (CVE-2019-15107) in realtà è presente solo nella versione di Webmin disponibile su SourceForge, mentre quella su GitHub è “pulita”. L’ipotesi, quindi, è che in qualche modo i cyber-criminali siano riusciti a infettare il repository o direttamente i sistemi dello sviluppatore.
Quale che sia l’origine, la backdoor rappresenta una vera voragine nella piattaforma: consente infatti di avviare esecuzione di codice in remoto senza alcun bisogno di autenticazione. Il problema è stato risolto nella versione v1.930 di Webmin, rilasciata la scorsa settimana.
I pirati non hanno perso tempo e hanno cominciato a sfruttare la vulnerabilità in maniera intensiva. Anche se gli esperti specificano che gli attacchi non destano preoccupazioni (almeno per ora dal punto di vista quantitativo, questa tipologia di attacchi rischia di essere estremamente distruttiva.
Per quanto riguarda le VPN, invece, le dritte per gli attacchi sono arrivate dal Black Hat USA 2019, nel corso del quale il tema delle vulnerabilità nelle Virtual Private Network ha avuto ampio risalto.
Sebbene nel corso del talk dedicato siano emerse falle di sicurezza in un gran numero di prodotti enterprise, a partire dallo scorso venerdì gli esperti hanno rilevato attacchi che hanno preso di mira soltanto due prodotti.
Il motivo? Per la VPN di FortiGate e per Pulse Secure sono disponibili dei Proof of Concept pubblicati in questo post su Internet. Insomma: i cyber-criminali, in questo caso, hanno già tutto quello che gli serve per portare l’attacco.
La vulnerabilità consente, in pratica, di colpire i dispositivi che utilizzano la VPN accedendo ai file di autenticazioni per ottenere le password.
Teoricamente, gli attacchi dovrebbero avere ben poche possibilità di andare a segno. Entrambe le vulnerabilità (CVE-2019-11510 per Pulse Secure e CVE-2018-13379 per FortiGate) sono state infatti corrette con il rilascio di patch, rispettivamente, in aprile e in maggio.
14,528 Pulse Secure VPN servers vulnerable to CVE-2019-11510.
2,535 organizations affected including government agencies, universities, and numerous Fortune 500 companies.
We’ve shared our findings with @USCERT_gov and other CERT teams around the world.https://t.co/lXcedIyQSB
— Bad Packets Report (@bad_packets) August 25, 2019
Peccato che gli amministratori IT delle aziende che utilizzano i due prodotti non siano evidentemente molto reattivi in tema di aggiornamenti. Nel caso di Pulse Secure, secondo i ricercatori ci sarebbero ben 14.500 installazioni vulnerabili su un totale di 42.000.
Per capire la rilevanza del problema, Pulse Secure viene utilizzato da numerosi enti pubblici (tra cui università e istituti di ricerca) e dall’esercito USA.
Feb 07, 2024 0
Lug 13, 2023 0
Lug 11, 2023 0
Giu 12, 2023 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...Apr 22, 2024 0
Nel periodo compreso tra il 13 e il 19 aprile,...
One thought on “I pirati sfruttano nuove falle nei server Webmin. E non solo…”