Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
I pirati sfruttano nuove falle nei server Webmin. E non solo…
Attacchi a ripetizione ai servizi di controllo remoto. I cyber-criminali stanno prendendo di mira anche le VPN di FortiGate e Pulse Secure.
Il bello del mondo della sicurezza informatica è che ci sono dei meccanismi che funzionano sempre nello stesso modo. Uno di questi riguarda il fatto che dopo una conferenza internazionale in cui vengono rese pubbliche vulnerabilità e nuove tecniche di attacco, i pirati informatici iniziano a sfruttarle a tempo di record.
Questo mese, di conferenze ce ne sono state due. Oltre al Def Con di Las Vegas, si è tenuto infatti anche il Black Hat USA 2019. In entrambi, inutile dirlo, sono emerse numerose tematiche e una grandinata di vulnerabilità.
Naturalmente sono state tutte (o quasi) comunicate in modo “responsabile” affinché produttori e sviluppatori potessero mettere mano ai codici per correggere le falle di sicurezza rese pubbliche. Ma come sappiamo, tra la disponibilità di un aggiornamento e la sua effettiva implementazione ne passa un po’.
I pirati informatici lo sanno benissimo e nello scorso week-end hanno cominciato a darsi da fare, prendendo di mira in particolare tre prodotti utilizzati a livello enterprise: il sistema di controllo remoto Webmin e le VPN FortiGate e Pulse Secure.
“This week’s attacks against Webmin, Pulse Secure, and Fortinet FortiGate are some of the worst this year, not because of volume, but because of the sensitive nature of the systems they target.”https://t.co/nVZTXQ6FW2
— Bad Packets Report (@bad_packets) August 25, 2019
Webmin è uno strumento di gestione che permette di controllare in remoto sistemi Linux e Unix, diventato protagonista al Def Con quando il ricercatore turco Özkan Mustafa Akkuş ha svelato al mondo che nel programma si nasconde una backdoor.
Akkuş, nel dettaglio, ha spiegato che la backdoor è stata inserita nel programma in seguito a un attacco che ha preso di mira direttamente il pacchetto di installazione del programma e che è passata inosservata per più di un anno.
La vulnerabilità (CVE-2019-15107) in realtà è presente solo nella versione di Webmin disponibile su SourceForge, mentre quella su GitHub è “pulita”. L’ipotesi, quindi, è che in qualche modo i cyber-criminali siano riusciti a infettare il repository o direttamente i sistemi dello sviluppatore.
Quale che sia l’origine, la backdoor rappresenta una vera voragine nella piattaforma: consente infatti di avviare esecuzione di codice in remoto senza alcun bisogno di autenticazione. Il problema è stato risolto nella versione v1.930 di Webmin, rilasciata la scorsa settimana.
I pirati non hanno perso tempo e hanno cominciato a sfruttare la vulnerabilità in maniera intensiva. Anche se gli esperti specificano che gli attacchi non destano preoccupazioni (almeno per ora dal punto di vista quantitativo, questa tipologia di attacchi rischia di essere estremamente distruttiva.
Per quanto riguarda le VPN, invece, le dritte per gli attacchi sono arrivate dal Black Hat USA 2019, nel corso del quale il tema delle vulnerabilità nelle Virtual Private Network ha avuto ampio risalto.
Sebbene nel corso del talk dedicato siano emerse falle di sicurezza in un gran numero di prodotti enterprise, a partire dallo scorso venerdì gli esperti hanno rilevato attacchi che hanno preso di mira soltanto due prodotti.
Il motivo? Per la VPN di FortiGate e per Pulse Secure sono disponibili dei Proof of Concept pubblicati in questo post su Internet. Insomma: i cyber-criminali, in questo caso, hanno già tutto quello che gli serve per portare l’attacco.
La vulnerabilità consente, in pratica, di colpire i dispositivi che utilizzano la VPN accedendo ai file di autenticazioni per ottenere le password.
Teoricamente, gli attacchi dovrebbero avere ben poche possibilità di andare a segno. Entrambe le vulnerabilità (CVE-2019-11510 per Pulse Secure e CVE-2018-13379 per FortiGate) sono state infatti corrette con il rilascio di patch, rispettivamente, in aprile e in maggio.
14,528 Pulse Secure VPN servers vulnerable to CVE-2019-11510.
2,535 organizations affected including government agencies, universities, and numerous Fortune 500 companies.
We’ve shared our findings with @USCERT_gov and other CERT teams around the world.https://t.co/lXcedIyQSB
— Bad Packets Report (@bad_packets) August 25, 2019
Peccato che gli amministratori IT delle aziende che utilizzano i due prodotti non siano evidentemente molto reattivi in tema di aggiornamenti. Nel caso di Pulse Secure, secondo i ricercatori ci sarebbero ben 14.500 installazioni vulnerabili su un totale di 42.000.
Per capire la rilevanza del problema, Pulse Secure viene utilizzato da numerosi enti pubblici (tra cui università e istituti di ricerca) e dall’esercito USA.
Condividi l'articolo
Pasticcio Apple su iOS: patch per correggere l’ultimo aggiornamento
Torna la botnet Emotet. Gli esperti: “i server sono di nuovo attivi”
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato...
Ransomware: la serie
No posts found.
One thought on “I pirati sfruttano nuove falle nei server Webmin. E non solo…”