La scorsa settimana, il National Cyber ​​Security Centre (NCSC) inglese ha pubblicato un avviso di sicurezza relativo ad attacchi condotti da gruppi APT (Advanced Persistent Threat) che hanno sfruttato alcune vulnerabilità divulgate di recente nei prodotti VPN aziendali. Un gruppo APT dispone di grandi risorse finanziare ed elevate capacità tecniche, tipicamente operano sotto il controllo di governi.

Nei casi rivelati dal NCSC, i gruppi APT hanno sfruttato falle nei sistemi VPN enterprise di Fortinet, Palo Alto Networks e Pulse Secure per violare le reti obiettivo degli attacchi.

L’agenzia britannica ha riferito che diversi gruppi APT hanno sfruttato diverse vulnerabilità, tra cui quelle tracciate come CVE-2019-11510 e CVE-2019-11539 nelle soluzioni Pulse Secure VPN e CVE-2018-13379,

La vulnerabilità CVE-2018-13379 è una falla di tipo path traveral presente nel all’interno del portale Web SSL VPN di FortiOS che potrebbe essere sfruttata da un utente non autenticato per scaricare i file del sistema FortiOS. Questo significa che la vulnerabilità CVE-2018-13379 potrebbe essere utilizzata per ottenere le credenziali di amministratore in chiaro.

Il difetto CVE-2019-11510 è una vulnerabilità di tipo “arbitrary file read” che affligge le soluzioni  VPN Pulse Connect Secure.

I gruppi APT hanno sfruttato anche le vulnerabilità tracciate come CVE-2018-13382, CVE-2018-13383 e CVE-2019-1579, presenti nei prodotti Palo Alto Networks.

Le vulnerabilità sono state segnalate per la prima volta a luglio dai ricercatori Orange Tsai e Meh Chang di DEVCORE che hanno riscontrato numerose falle nei prodotti Fortinet, Palo Alto Networks e Pulse Secure. I problemi potrebbero essere sfruttati da attaccanti per accedere alle reti aziendali e rubare documenti sensibili

Alcuni ricercatori Microsoft hanno recentemente rivelato che il gruppo di cyber spionaggio APT5  (alias MANGANESE) sfrutta le vulnerabilità della VPN sin dallo scorso luglio, alcune settimane prima che i codici PoC exploit fossero resi pubblici.

L’avviso di sicurezza di NSA

La notizia del giorno è che anche l’agenzia di intelligence americana, l’NSA, a pubblicato un avviso di sicurezza che mette in guardia da attacchi in grado di fruttare falle delle principali VPN aziendali.

“Alcuni attori APT (Advanced Nation State Advanced Persistent Threat) hanno sfruttato le falle CVE-2019-11510, CVE-2019-11539 e CVE-2018-13379 presenti nei sistemi VPN per ottenere l’accesso ai dispositivi VPN vulnerabili” recita l’avviso di sicurezza pubblicato dalla NSA.

“L’agenzia NSA consiglia di ripristinare le credenziali dopo l’aggiornamento di un dispositivo VPN vulnerabile e prima che venga ricollegato alla rete esterna:

• Aggiorna immediatamente le credenziali dell’account utente, amministratore e servizio VPN.
• Revoca e genera immediatamente nuove chiavi e certificati del server VPN.Ciò potrebbe richiedere la ridistribuzione agli utenti delle informazioni sulla connessione VPN.
• Se si sospetta un compromesso, rivedere gli account per assicurarsi che non siano stati creati nuovi account dagli avversari. “

Entrambe le agenzie di intelligence NCSC o NSA hanno confermato che i gruppi APT hanno preso di mira diversi settori, tra cui quello militare, governativo, accademico, commerciale e sanitario. Gli avvisi di sicurezza pubblicati dalle agenzie non hanno fornito i nomi dei gruppi APT che sfruttano le vulnerabilità VPN sopra menzionate per i loro attacchi.

In agosto, gli esperti di BadPackets hanno osservato un’attività di scansione di massa volta ad identificare gli endpoint VPN Pulse Connect Secure Pulse Secure vulnerabili alla falla CVE-2019-11510. All’epoca oltre 14000 endpoint Pulse Secure vulnerabili erano ospitati da oltre 2.500 organizzazioni. Il numero di endpoint vulnerabili è sceso a circa 6.000 entro l’8 ottobre, la maggior parte dei quali è presente negli Stati Uniti, in Giappone e nel Regno Unito.

Weekly CVE-2019-11510 Scan Results
• Vulnerable Pulse Secure VPN servers detected: 6,018
• Unique ASNs affected: 1,437

Our vulnerability scan results are freely available for authorized CERT teams and impacted organizations.#threatintel https://t.co/HnKn5IJLYu

— Bad Packets (@bad_packets) October 8, 2019

Gli avvisi di sicurezza di entrambe le agenzie di intelligence forniscono informazioni dettagliate sulle modalità con le quali mettere in sicurezza i sistemi VPN presenti nelle grandi imprese, non resta che implementarle.