Migliaia+di+aziende+che+utilizzavano+un+dispositivo+per+VPN+tremano+%7C+Zero+day+cinese+le+minaccia+tutte
player
/tech/548912-zero-day-cina-attacchi-migliaia-aziende.html/amp/
Tech

Migliaia di aziende che utilizzavano un dispositivo per VPN tremano | Zero day cinese le minaccia tutte

Brutto momento per tutti quelli che utilizzano un dispositivo Ivanti VPN: degli attaccanti cinesi stanno utilizzando a loro vantaggio degli exploit di tipo zero-day per bypassare completamente questo genere di strumenti, mettendo a rischio molteplici infrastrutture.

Quanti di voi conoscono Ivanti? Probabilmente nessuno e non ci sarebbe niente di strano in ciò: parliamo di una grande società americana specializzata nella sicurezza IT attraverso soluzioni software, non esattamente quello che si trova all’interno di un sito che parla di tecnologia.

Nel corso di questi giorni però questo nome compare molto più spesso nelle headline di questo o quell’altro sito e le motivazioni sono molto semplici: una preoccupante minaccia informatica di origine cinese sembra aver coinvolto migliaia di dispositivi dell’azienda sparsi in tutto il mondo, creando dei rischi notevoli per una grande quantità di strutture e infrastrutture.

Parliamo di vulnerabilità zero day prive di patch che permettono ad agenti esterni di fare ciò che vogliono attraverso l’installazione di webshell su server remoti; non esattamente quello che vorrebbe qualcuno che ha speso decine di migliaia di dollari in sicurezza informatica.

Cosa sta succedendo?

Tutto quanto è cominciato il 10 Gennaio dopo il rilascio di importanti informazioni di sicurezza da parte di Ivanti e di Volexity, quest’ultima importante azienda che si occupa di sicurezza informatica e che ha rilasciato tutta una serie di studi sul tipo di vulnerabilità che stanno venendo sfruttate dagli hacker cinesi per perforare le infrastrutture protette da dispositivi Ivanti.

Oltre 1700 sono gli Ivanti Connect Secure VPN sparsi in tutto il mondo che sono sensbili a una particolare coppia di vulnerabilità zero day ancora prive di patch chiamate, rispettivamente, CVE-2023-46805 e CVE-2024-21887. La prima è una vulnerabilità che permette un bypass di autenticazione mentre la seconda permette di eseguire un attacco di tipo command injection, permettendo alla fine l’installazione di terminali accessibili da remoto su server web interni ed esterni protetti dalle sopracitate tipologie di VPN.

All’atto pratico la natura del file system di alcuni dispositivi ha permesso agli hacker di utilizzare uno script in Perl per modificare i diritti di accesso e distribuire 5 diverse tipologie di Malware. Gli strumenti principali utilizzati per mantenere l’accesso ai sistemi dopo la compromissione erano LIGHTWIRE e WIREFIRE, due tipologie di Webshell; a queste poi bisogna aggiungere la presenza del malware WARPWIRE (basato su Javascript) utilizzato per raccogliere le credenziali e ZIPLINE, una backdoor in grado di scaricare e caricare file, creare server proxy, impostare del tunnelling di rete per la distribuzione del traffito e installare eventuali reverse shell.

Secondo quanto riportato dai ricercatori di Volexity, il principale autore degli attacchi nei confronti degli Ivanti Connect Secure VPN sparsi per il mondo è conosciuto con il nome di UTA0178 ed è plausibilmente sostenuto dalla Cina; questo però non è l’unico ad essere venuto a conoscere di questo genere di debolezze dei sistemi in quanto pian piano la lista di attaccanti sta aumentando e da Dicembre scorso i numeri sono aumentati a tal punto da iniziare a rappresentare una seria minaccia per la sicurezza informatica a livello mondiale.

Ulteriori informazioni in relazione a questo evento provengono da Mandiant, azienda affiliata a Google e specializzata in sicurezza informatica; questa ha infatti condiviso degli indicatori di compromissione del malware che è stato utilizzato dal sopracitato UTA0178, identificandone il modus operandi come quello di un attaccante sponsorizzato dalla Cina. Gli attacchi si sono concentrati principalmente nel fornire spionaggio informatico, spingendo poi Volexity a rianalizzare la situazione.

Quali sono le contromisure prese?

Secondo quanto raccolto gli oltre 1700 dispositivi VPN Ivanti Connect Secure colpiti appartengono a organizzazioni di varie dimensioni che vanno da aziende Fortune 500 in settori definiti come verticali a piccole imprese e startup; di queste la parte minoritaria è dislocata in Europa.

Il problema peggiore sembra riguardare le soluzioni per la mitigazione del rischio, al momento considerate poco efficienti e interessanti. Volexity stessa infatti avverte che le patch e le mitigazioni al momento impiegate non risuciranno a risolvere le compromissioni avvenute in passato e pertanto le organizzazioni che sono dotate di dispositivi Ivanti sono incoraggiate ad eseguire un’analisi approfondita dei propri registri, tra telemetria di rete e risultati degli strumenti di sicurezza alla ricerca di segni di compromissione.

Nel frattempo Ivanti stessa ha pubblicato delle linee guida aggiornate per il recupero da un eventuale compromissione mentre Rapid7 ha rilasciato una nuova analisi tecnica molto dettagliata sulla natura delle due vulnerabilità.

This post was published on 19 Gennaio 2024 13:30

Graziano Salini

Perennemente alla ricerca di legami tra argomenti distanti tra loro, con una certa predilezione per musica e videogiochi. Faccio il possibile per fare in modo che ci siano meno errori di concetto possibili sugli articoli di Player.it, grande fan degli errori grammaticali invece, quelli fanno sempre ridere. Quando non sto amministrando questo sito lavoro mi occupo di spiegare cose difficili in maniere semplici su altri siti, su tematiche molto meno allegre dei videogiochi.

Pubblicato da

Recent Posts

Il Giappone conquista gli Stati Uniti e arrivano gli zombie: ecco la trama del nuovo pazzo videogioco made in China

Dalla Cina è in arrivo un videogioco che definire bizzarro è dire poco: solamente il…

Il vincitore di “Gioco di ruolo dell’anno” a Lucca Comics & Games 2024 è già in sconto su Amazon

Siete appassionati di GDR cartacei? A Lucca Comics & Games 2024 è stato eletto il…

Perché da oggi devi fare massima attenzione a chi mandi note vocali su Whatsapp

I messaggi vocali di Whatsapp non sono affatto così sicuri e innocui come credi, anzi:…

Phantom Blade Zero provato al Tokyo Game Show | L’alba del kungfupunk

Alla fiera giapponese abbiamo provato con mano l'attesissimo soulslike di S-GAME, che punta a divenire…

Pokémon colpisce ancora: 10 milioni di download in 48 ore su Android e iOS

Un altro enorme traguardo per Pokémon: la nuova app dedicata ai mostriciattoli tascabili ha raggiunto…

Windows 11 24H2 non arriverà su tutti i PC: i motivi per cui potresti non riceverlo

Se hai una delle macchine che ormai sono state categorizzate come problematiche potresti non ricevere…