NSA: 5 vulnerabilità attivamente nel mirino di gruppi APT

Un gruppo APT colluso con l'intelligence russa sta scansionando le reti alla ricerca di dispositivi di networking vulnerabili a cinque falle note e ormai corrette. È urgente l'installazione (seppur tardiva) delle patch.

Business Vulnerabilità
APT29, noto anche come The Dukes o Cozy Bear e considerato colluso con l'intelligence russa, sta attivamente sfruttando delle vulnerabilità note dei prodotti di networking Citrix, Fortinet, Pulse Secure, Synacor e VMware. L'allarme è stato lanciato dalla National Security Agency (NSA), secondo la quale gli attacchi sarebbero finalizzato al furto di credenziali.

Quello prospettato da NSA è un attacco in piena regola agli asset statunitensi, sviluppato sfruttando cinque vulnerabilità ai danni di soluzioni VPN, software di collaboration e tecnologie di virtualizzazione. APT29 avrebbe già avviato la scansione di rete alla ricerca dei dispositivi vulnerabili installati presso le reti governative degli Stati Uniti, la Sicurezza Nazionale e Paesi alleati.

I cinque bug


Le cinque falle sotto attacco attivo sono note e sono state corrette a suo tempo. Considerato il nuovo allarme, vale la pena ricordarle nel dettaglio per dare modo a chi le ha in uso di installare gli eventuali update omessi. Peraltro, alcune "hanno anche moduli Metasploit funzionanti e sono ampiamente sfruttate" sottolineano i ricercatori con Cisco Talos, che dettagliano: "alcune di queste vulnerabilità sfruttano il protocollo SSL, pertanto gli utenti dovrebbero abilitare la decrittografia SSL [al fine di] rilevarne lo sfruttamento".

CVE-2018-13379 è una vulnerabilità che affligge le Fortinet FortiGate SSL VPN che eseguono le versioni FortiOS comprese fra la 6.0.0 e la 6.0.4, fra la 5.6.3 e la 5.6.7 e fra la 5.4.6 e la 5.4.12. Se sfruttata. Consente aun attaccante non autenticato di accedere e scaricare file di sistema, inviando richieste di risorse HTTP appositamente realizzate. È già stata ampiamente sfruttata per attaccare istituzioni (anche italiane), diverse aziende e più di recente per scatenare attacchi con il ransomware Cring.

CVE-2019-9670 è una vulnerabilità XXE (XML External Entity Injection) nel componente mailbox di Synacore Zimbra Collaboration Suite nelle release 8.7.x antecedenti alla 8.7.11p10. Gli attaccanti possono sfruttarla per ottenere l'accesso alle credenziali per promuovere il loro accesso alla rete.
networkCVE-2019-11510 è stesso stata sfruttata in tandem con la 13379 nominata sopra. Affligge le VPN Pulse Secure, e consente lo sfruttamento da parte di aggressori remoti e non autenticati che cercano di accedere alle reti target. L'attaccante può inviare un URI appositamente creato per attivare l'exploit. I sistemi interessati sono quello Pulse Connect Secure (PCS) 8.2 antecedenti l'8.2R12.1, 8.3 prima dell'8.3R7.1 e 9.0 precedenti la 9.0R3.4.

Lo scorso aprile, il Dipartimento per la Sicurezza statunitense aveva esortato le aziende a cambiare le password per gli account Active Directory. Gli attaccanti sfruttavano la falla per rubare le credenziali delle vittime e le usavano poi per spostarsi lateralmente in rete.

CVE-2019-19781 riguarda i Citrix Application Delivery Controller and Gateway e può consentire l'esecuzione di codice da remoto. È tristemente nota da quando fu impiegata per la prima volta come zero-day nel dicembre 2019, per attaccare la rete governativa dello Stato di New York. Da notare che Citrix aveva già pubblicato le patch, ma si registrarono dozzine di exploit proof-of-concept e i tentativi di sfruttamento salirono alle stelle.Riguarda le versioni Citrix ADC e Gateway antecedenti le 13.0.47.24, 12.1.55.18, 12.0.63.13, 11.1.63.15 e 10.5.70.12, le SD-WAN WANOP 4000-WO, 4100-WO, 5000-WO e 5100-WO nelle versioni precedenti alle 10.2.6b e 11.0.3b.

CVE-2020-4006 è una vulnerabilità di esecuzione dei comandi in VMWare Workspace One Access, Access Connector, Identity Manager e Identity Manager Connector che consente l'esecuzione arbitraria dei comandi nel sistemi con VMware One Access 20.01 e 20.10 su Linux, VMware Identity Manager 3.3.1 – 3.3.3 su Linux, VMware Identity Manager Connector 3.3.1 – 3.3.3 e 19.03, VMware Cloud Foundation 4.0 – 4.1 e VMware Vrealize Suite Lifecycle Manager 8.x.

Fu scoperta come vulnerabilità zero-day a fine 2020 e consente a un attaccante esterno un'escalation dei privilegi sui sistemi operativi Windows e Linux e nel Workspace One. Le patch sono disponibili da fine anno.
cybersecurity 1

Come prevenire gli attacchi informatici


Prevenire i cyber attacchi in questi casi non è difficile, perché per ciascuna delle falle indicate sono ampiamente disponibili le patch: è sufficiente installarle. Inoltre, per non ritrovarsi un una situazione a rischio è bebe d'ora in poi aggiornare i sistemi e i prodotti il prima possibile dopo la pubblicazione delle patch. I produttori delle apparecchiature consigliano inoltre di disabilitare le funzionalità di gestione esterna se non indispensabili, e bloccare i protocolli obsoleti o inutilizzati.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori