Ultimo aggiornamento il 10 Ottobre 2019 alle 10:08
Secondo l’NSA, gruppi APT stanno sfruttando le falle nelle principali soluzioni VPN per condurre attacchi
Anche l’agenzia di intelligence americana NSA mette in guardia da attacchi di attori nation-state che sfruttano falle nelle VPN utilizzate dalle aziendali
La scorsa settimana, il National Cyber Security Centre (NCSC) inglese ha pubblicato un avviso di sicurezza relativo ad attacchi condotti da gruppi APT (Advanced Persistent Threat) che hanno sfruttato alcune vulnerabilità divulgate di recente nei prodotti VPN aziendali. Un gruppo APT dispone di grandi risorse finanziare ed elevate capacità tecniche, tipicamente operano sotto il controllo di governi.
Nei casi rivelati dal NCSC, i gruppi APT hanno sfruttato falle nei sistemi VPN enterprise di Fortinet, Palo Alto Networks e Pulse Secure per violare le reti obiettivo degli attacchi.
L’agenzia britannica ha riferito che diversi gruppi APT hanno sfruttato diverse vulnerabilità, tra cui quelle tracciate come CVE-2019-11510 e CVE-2019-11539 nelle soluzioni Pulse Secure VPN e CVE-2018-13379,
La vulnerabilità CVE-2018-13379 è una falla di tipo path traveral presente nel all’interno del portale Web SSL VPN di FortiOS che potrebbe essere sfruttata da un utente non autenticato per scaricare i file del sistema FortiOS. Questo significa che la vulnerabilità CVE-2018-13379 potrebbe essere utilizzata per ottenere le credenziali di amministratore in chiaro.
Il difetto CVE-2019-11510 è una vulnerabilità di tipo “arbitrary file read” che affligge le soluzioni VPN Pulse Connect Secure.
I gruppi APT hanno sfruttato anche le vulnerabilità tracciate come CVE-2018-13382, CVE-2018-13383 e CVE-2019-1579, presenti nei prodotti Palo Alto Networks.
Le vulnerabilità sono state segnalate per la prima volta a luglio dai ricercatori Orange Tsai e Meh Chang di DEVCORE che hanno riscontrato numerose falle nei prodotti Fortinet, Palo Alto Networks e Pulse Secure. I problemi potrebbero essere sfruttati da attaccanti per accedere alle reti aziendali e rubare documenti sensibili
Alcuni ricercatori Microsoft hanno recentemente rivelato che il gruppo di cyber spionaggio APT5 (alias MANGANESE) sfrutta le vulnerabilità della VPN sin dallo scorso luglio, alcune settimane prima che i codici PoC exploit fossero resi pubblici.
La notizia del giorno è che anche l’agenzia di intelligence americana, l’NSA, a pubblicato un avviso di sicurezza che mette in guardia da attacchi in grado di fruttare falle delle principali VPN aziendali.
“Alcuni attori APT (Advanced Nation State Advanced Persistent Threat) hanno sfruttato le falle CVE-2019-11510, CVE-2019-11539 e CVE-2018-13379 presenti nei sistemi VPN per ottenere l’accesso ai dispositivi VPN vulnerabili” recita l’avviso di sicurezza pubblicato dalla NSA.
“L’agenzia NSA consiglia di ripristinare le credenziali dopo l’aggiornamento di un dispositivo VPN vulnerabile e prima che venga ricollegato alla rete esterna:
Entrambe le agenzie di intelligence NCSC o NSA hanno confermato che i gruppi APT hanno preso di mira diversi settori, tra cui quello militare, governativo, accademico, commerciale e sanitario. Gli avvisi di sicurezza pubblicati dalle agenzie non hanno fornito i nomi dei gruppi APT che sfruttano le vulnerabilità VPN sopra menzionate per i loro attacchi.
In agosto, gli esperti di BadPackets hanno osservato un’attività di scansione di massa volta ad identificare gli endpoint VPN Pulse Connect Secure Pulse Secure vulnerabili alla falla CVE-2019-11510. All’epoca oltre 14000 endpoint Pulse Secure vulnerabili erano ospitati da oltre 2.500 organizzazioni. Il numero di endpoint vulnerabili è sceso a circa 6.000 entro l’8 ottobre, la maggior parte dei quali è presente negli Stati Uniti, in Giappone e nel Regno Unito.
Weekly CVE-2019-11510 Scan Results
• Vulnerable Pulse Secure VPN servers detected: 6,018
• Unique ASNs affected: 1,437Our vulnerability scan results are freely available for authorized CERT teams and impacted organizations.#threatintel https://t.co/HnKn5IJLYu
— Bad Packets (@bad_packets) October 8, 2019
Gli avvisi di sicurezza di entrambe le agenzie di intelligence forniscono informazioni dettagliate sulle modalità con le quali mettere in sicurezza i sistemi VPN presenti nelle grandi imprese, non resta che implementarle.