Le ultime sulle vulnerabilità di Ivanti, novità dal fronte russo-ucraino, tracciati in Italia attacchi di diversa natura  

Ivanti: scoperte nuove falle e rivelati gli ultimi aggiornamenti su CVE-2023-46805 e CVE-2024-21887

In seguito alla divulgazione delle due 0-day di Ivanti CVE-2023-46805 e CVE-2024-21887, il 31 gennaio il vendor ha rilasciato gli attesi aggiornamenti di sicurezza e rivelato due ulteriori vulnerabilità che interessano sempre le appliance Connect Secure e Policy Secure. Tracciata con codice CVE-2024-21888, la prima è una Privilege Escalation presente nel componente web di Connect Secure e Policy Secure che permette a un utente di elevare i propri privilegi a quelli di amministratore. Individuata come CVE-2024-21893, la seconda di tipo Server-side Request Forgery risiede nel componente SAML di Connect Secure, Policy Secure e Neurons for ZTA e consente a un attaccante di accedere a determinate risorse riservate senza autenticazione. Quest’ultima risulta essere stata sfruttata contro un numero limitato di clienti, probabilmente in attacchi di natura mirata. Oltre alla scoperta di nuovi problemi di sicurezza, sono stati individuati malware inediti utilizzati dal presunto avversario cinese UNC5221 durante le attività di post-exploitation, precedentemente documentate, rivolte contro dispositivi Connect Secure e Policy Secure. Tra questi figurano le webshell BUSHWALK, CHAINLINE e FRAMESTING (la prima scritta in Perl, mentre le restanti in Python), oltre a varianti dei già noti LIGHTWIRE e WARPWIRE. In particolare, BUSHWALK è incorporata in un file legittimo Connect Secure, viene distribuita aggirando le mitigazioni emesse da Ivanti in attacchi altamente mirati, e permette all’attaccante di leggere o scrivere file su un server. D’altra parte, CHAINLINE e FRAMESTING sono webshell incorporate in un pacchetto Python Ivanti Connect Secure che consentono l’esecuzione di comandi arbitrari.

Russia-Ucraina: documentate operazioni di matrice russa

Il National Cybersecurity Coordination Center (NCSCC) dell’Ucraina ha scoperto una campagna di spionaggio del russo Sofacy rivolta contro il settore militare del Paese. Stando a quanto osservato, il gruppo ha condotto attacchi che prevedono la distribuzione di pagine HTML di phishing volte a ottenere le credenziali delle caselle postali del servizio e-mail ukr[.]net appartenenti al personale militare ucraino e alle unità delle Forze Armate di Kiev ed esfiltrarle a un router Ubiquiti Edge da lui controllato. Sempre inerente a un’operazione attribuita dal CERT-UA a Sofacy rivolta contro organizzazioni governative ucraine, alcuni ricercatori hanno individuato nuovi file e infrastrutture malevoli ad essa associati. In base a quanto analizzato, l’attività malevola in questione ha preso di mira realtà in Ucraina e Polonia (e forse anche in Azerbaigian); è iniziata al più tardi il 13 dicembre 2023 e ha utilizzato come infrastruttura malevola dispositivi di rete Ubiquity legittimi compromessi. Tuttavia, sebbene il CERT-UA abbia collegato la campagna a Sofacy, gli analisti ritengono di non poterla attribuire con sicurezza all’APT di Mosca. Rimanendo nell’ambito del conflitto russo-ucraino, in data 28 gennaio 2024 il quartier generale di coordinamento per il trattamento dei prigionieri di guerra ucraino (KSHPPV) ha riportato di aver subito un attacco DDoS ai danni dei suoi sistemi IT, i quali sono stati poi successivamente ripristinati e tornati alla loro normale funzionalità nella giornata di lunedì 29. Pur non essendo stato identificato l’avversario, si presume che dietro l’offensiva ci sia la Russia e che l’attività sia collegata al recente incidente dell’aereo da trasporto militare strategico russo Ilyushin Il-76, il quale si è schiantato a Belgorod uccidendo tutti i passeggeri a bordo. Mosca ha accusato Kiev di aver abbattuto il velivolo; dal canto suo l’Ucraina non ha confermato né smentito la propria responsabilità, ma il presidente Zelensky ha chiesto l’istituzione di un’indagine internazionale.

Italia: rilevate offensive cybercrime e ransomware

Domenica 28 gennaio 2024, l’Azienda Sanitaria Locale di Potenza (ASP Basilicata) ha notificato un attacco informatico che ha causato difficoltà all’interno del sistema sanitario regionale. Nei giorni successivi all’accaduto, la stessa ASP, l’Azienda Sanitaria Locale di Matera e la Regione Basilicata hanno informato i cittadini circa una possibile violazione di dati personali di utenti e dipendenti. Stando a quanto riportato, la compromissione è “avvenuta tramite intrusione illecita” e “si è diffusa tra gli Enti del Servizio Sanitario Regionale le cui reti informatiche sono comunicanti per la gestione di alcuni applicativi”. Oltre all’offensiva sopracitata, sono state tracciate in Italia inedite operazioni di distribuzione del RAT per Android Irata e del malware FormBook, e nuove rivendicazioni ransomware di 8BASE Team e Akira Team, rispettivamente relative alla compromissione di V.V.D. Elettrotecnica S.r.l. e Sefin S.p.A. Da ultimo, sono emersi dettagli aggiuntivi sulla campagna dell’italiano Nyarlathotep (UNC4990) volta alla distribuzione attraverso chiavette USB infette del downloader Vetta Loader, la quale ha previsto l’hosting di payload su siti web popolari e legittimi, come GitHub, GitLab, Vimeo e Ars Technica. La minaccia è stata poi utilizzata per veicolare una backdoor multicomponente basata su Python denominata QUIETBOARD.