Migliaia+di+aziende+che+utilizzavano+un+dispositivo+per+VPN+tremano+%7C+Zero+day+cinese+le+minaccia+tutte
player
/tech/548912-zero-day-cina-attacchi-migliaia-aziende.html/amp/
Tech

Migliaia di aziende che utilizzavano un dispositivo per VPN tremano | Zero day cinese le minaccia tutte

Brutto momento per tutti quelli che utilizzano un dispositivo Ivanti VPN: degli attaccanti cinesi stanno utilizzando a loro vantaggio degli exploit di tipo zero-day per bypassare completamente questo genere di strumenti, mettendo a rischio molteplici infrastrutture.

Quanti di voi conoscono Ivanti? Probabilmente nessuno e non ci sarebbe niente di strano in ciò: parliamo di una grande società americana specializzata nella sicurezza IT attraverso soluzioni software, non esattamente quello che si trova all’interno di un sito che parla di tecnologia.

Nel corso di questi giorni però questo nome compare molto più spesso nelle headline di questo o quell’altro sito e le motivazioni sono molto semplici: una preoccupante minaccia informatica di origine cinese sembra aver coinvolto migliaia di dispositivi dell’azienda sparsi in tutto il mondo, creando dei rischi notevoli per una grande quantità di strutture e infrastrutture.

Parliamo di vulnerabilità zero day prive di patch che permettono ad agenti esterni di fare ciò che vogliono attraverso l’installazione di webshell su server remoti; non esattamente quello che vorrebbe qualcuno che ha speso decine di migliaia di dollari in sicurezza informatica.

Cosa sta succedendo?

Tutto quanto è cominciato il 10 Gennaio dopo il rilascio di importanti informazioni di sicurezza da parte di Ivanti e di Volexity, quest’ultima importante azienda che si occupa di sicurezza informatica e che ha rilasciato tutta una serie di studi sul tipo di vulnerabilità che stanno venendo sfruttate dagli hacker cinesi per perforare le infrastrutture protette da dispositivi Ivanti.

Oltre 1700 sono gli Ivanti Connect Secure VPN sparsi in tutto il mondo che sono sensbili a una particolare coppia di vulnerabilità zero day ancora prive di patch chiamate, rispettivamente, CVE-2023-46805 e CVE-2024-21887. La prima è una vulnerabilità che permette un bypass di autenticazione mentre la seconda permette di eseguire un attacco di tipo command injection, permettendo alla fine l’installazione di terminali accessibili da remoto su server web interni ed esterni protetti dalle sopracitate tipologie di VPN.

All’atto pratico la natura del file system di alcuni dispositivi ha permesso agli hacker di utilizzare uno script in Perl per modificare i diritti di accesso e distribuire 5 diverse tipologie di Malware. Gli strumenti principali utilizzati per mantenere l’accesso ai sistemi dopo la compromissione erano LIGHTWIRE e WIREFIRE, due tipologie di Webshell; a queste poi bisogna aggiungere la presenza del malware WARPWIRE (basato su Javascript) utilizzato per raccogliere le credenziali e ZIPLINE, una backdoor in grado di scaricare e caricare file, creare server proxy, impostare del tunnelling di rete per la distribuzione del traffito e installare eventuali reverse shell.

Secondo quanto riportato dai ricercatori di Volexity, il principale autore degli attacchi nei confronti degli Ivanti Connect Secure VPN sparsi per il mondo è conosciuto con il nome di UTA0178 ed è plausibilmente sostenuto dalla Cina; questo però non è l’unico ad essere venuto a conoscere di questo genere di debolezze dei sistemi in quanto pian piano la lista di attaccanti sta aumentando e da Dicembre scorso i numeri sono aumentati a tal punto da iniziare a rappresentare una seria minaccia per la sicurezza informatica a livello mondiale.

Ulteriori informazioni in relazione a questo evento provengono da Mandiant, azienda affiliata a Google e specializzata in sicurezza informatica; questa ha infatti condiviso degli indicatori di compromissione del malware che è stato utilizzato dal sopracitato UTA0178, identificandone il modus operandi come quello di un attaccante sponsorizzato dalla Cina. Gli attacchi si sono concentrati principalmente nel fornire spionaggio informatico, spingendo poi Volexity a rianalizzare la situazione.

Quali sono le contromisure prese?

Secondo quanto raccolto gli oltre 1700 dispositivi VPN Ivanti Connect Secure colpiti appartengono a organizzazioni di varie dimensioni che vanno da aziende Fortune 500 in settori definiti come verticali a piccole imprese e startup; di queste la parte minoritaria è dislocata in Europa.

Il problema peggiore sembra riguardare le soluzioni per la mitigazione del rischio, al momento considerate poco efficienti e interessanti. Volexity stessa infatti avverte che le patch e le mitigazioni al momento impiegate non risuciranno a risolvere le compromissioni avvenute in passato e pertanto le organizzazioni che sono dotate di dispositivi Ivanti sono incoraggiate ad eseguire un’analisi approfondita dei propri registri, tra telemetria di rete e risultati degli strumenti di sicurezza alla ricerca di segni di compromissione.

Nel frattempo Ivanti stessa ha pubblicato delle linee guida aggiornate per il recupero da un eventuale compromissione mentre Rapid7 ha rilasciato una nuova analisi tecnica molto dettagliata sulla natura delle due vulnerabilità.

This post was published on 19 Gennaio 2024 13:30

Graziano Salini

Perennemente alla ricerca di legami tra argomenti distanti tra loro, con una certa predilezione per musica e videogiochi. Faccio il possibile per fare in modo che ci siano meno errori di concetto possibili sugli articoli di Player.it, grande fan degli errori grammaticali invece, quelli fanno sempre ridere. Quando non sto amministrando questo sito lavoro mi occupo di spiegare cose difficili in maniere semplici su altri siti, su tematiche molto meno allegre dei videogiochi.

Pubblicato da

Recent Posts

Questo smartphone è assurdo, cambia colore con il freddo: è il primo al mondo

Uno smartphone che, grazie alla tecnologia, è in grado di cambiare colore e reagire alla…

Indiana Jones e l’Antico Cerchio | Recensione: Avventura con la A maiuscola

Recensione di Indiana Jones e l'Antico Cerchio, avventura cinematografica dell'archeologo più famoso del mondo. Continua

Solo in America: guarda un video Youtube e riceve una bolletta da 6,223 $

Come vi sentireste a pagare 6mila dollari per una bolletta di internet? Questo è ciò…

I migliori smart LED che si adattano a quello che guardi in TV: funzionano anche con i comandi vocali

Siete alla ricerca di luci smart LED che possano restituirvi forti sensazioni visive e che…

Auguri di Buon Natale, le frasi più belle da inviare su Whatsapp e non solo

Congegnare auguri di buon Natale, non banali e né stucchevoli, da mandare su WhatsApp ad…

Il miglior GDR del 2024 non avrà né DLC né sequel e tutto questo ci rende molto tristi

L'annuncio arriva direttamente dal director del gioco che vuole dire stop al progetto nonostante il…