Nuove vulnerabilità Ivanti, data leak e breach in ambito cybercrime, le ultime da Washington e Pechino
13 Gennaio 2025
Ivanti: sanate due vulnerabilità, di cui una sfruttata ITW
Ivanti ha notificato due vulnerabilità, di cui una critica e sfruttata ITW, che impattano i prodotti Connect Secure, Policy Secure e Neurons for ZTA. Entrambe di tipo Stack-based Buffer Overflow, la prima, tracciata con codice CVE-2025-0282 (CVSS 9.0), consente a un avversario remoto non autenticato di ottenere l’esecuzione di codice remoto; mentre la seconda, identificata come CVE-2025-0283 (CVSS 7.0), permette a un attaccante autenticato locale di aumentare i propri privilegi. Il vendor ha dichiarato di essere a conoscenza di un numero limitato di dispositivi Connect Secure colpiti in attacchi basati sullo sfruttamento di CVE-2025-0282. Sebbene la falla riguardi tutti e tre i prodotti, Ivanti afferma di averla vista sfruttata solo sulle appliance Connect Secure. Quanto a CVE-2025-0283, al momento della divulgazione non risulta sfruttata. Nello specifico, ricercatori di sicurezza hanno osservato CVE-2025-0282 venire sfruttata ITW in attacchi 0-day a partire dalla metà di dicembre 2024. Analizzando più appliance Connect Secure compromesse, in almeno uno dei dispositivi, gli analisti hanno osservato la distribuzione dell’ecosistema malware SPAWN – che include l’installer SPAWNANT, il tunneler SPAWNMOLE, la backdoor SSH SPAWNSNAIL e l’utility di manomissione dei log SPAWNSLOTH – già osservato in precedenza e attribuito al cluster di spionaggio cinese UNC5337, che si ritiene con un livello di confidenza moderato sia parte di UNC5221. Inoltre, sono state identificate minacce precedentemente non documentate provenienti da altre appliance compromesse denominate DRYHOOK e PHASEJAM, rispettivamente un tool per il furto di credenziali e un dropper, attualmente non ancora collegate a un gruppo noto. Nelle offensive osservate, gli attaccanti hanno innanzitutto inviato richieste all’appliance target nel tentativo di determinare la versione del software, poiché lo sfruttamento è specifico per quest’ultima. Successivamente, hanno abusato di CVE-2025-0282, disabilitato SELinux, apportato modifiche alla configurazione, eseguito script e distribuito web shell in preparazione alla distribuzione di malware. Si ritiene sia possibile che più avversari siano responsabili della creazione e della consegna delle minacce sopracitate; tuttavia, non sono stati riscontrati dati sufficienti per valutare con precisione il numero di attaccanti che hanno preso di mira CVE-2025-0282.
Cybercrime: data leak ai danni dell’ICAO e presunta violazione di Gravy Analytics
In data 6 gennaio 2025, l’Organizzazione internazionale dell’aviazione civile (ICAO) delle Nazioni Unite ha annunciato di star indagando su un potenziale incidente di sicurezza, presumibilmente legato a un avversario noto per aver preso di mira organizzazioni internazionali. Nel dettaglio, domenica 5 gennaio l’attaccante chiamato natohub ha pubblicato su un noto forum underground un annuncio circa la divulgazione di un presunto data leak riconducibile all’ICAO. Stando a quanto riportato nel post, i dati trapelati includono 42.000 documenti contenenti informazioni degli utenti. La conferma del leak è arrivata dall’agenzia delle Nazioni Unite stessa martedì 7 gennaio, affermando che riguarda circa 42.000 record di dati riconducibili a domande di assunzione risalenti da aprile 2016 a luglio 2024, che sarebbero stati rilasciati proprio da natohub. L’ICAO ha inoltre sottolineato che il leak è limitato al database di reclutamento. D’altro canto, criminali informatici hanno pubblicato su un noto forum underground un post in lingua russa tramite il quale hanno rivendicato la violazione dell’azienda statunitense di location intelligence Gravy Analytics. Parte di Unacast dalla fine del 2023, quest’ultima è nota per la vendita di dati di localizzazione degli smartphone – attraverso la sua consociata Venntel – a vari clienti, tra cui diverse agenzie governative statunitensi come il Department of Homeland Security (DHS), l’FBI e l’Internal Revenue Service (IRS). Nel dettaglio, la compromissione avrebbe permesso agli avversari di ottenere l’accesso root ai server della società, prendere il controllo dei suoi domini e accedere agli storage bucket Amazon S3 contenenti grandi quantità di informazioni sensibili. I dati impattati includerebbero milioni di coordinate GPS, timestamp, cronologie di localizzazione delle persone, elenchi di clienti e informazioni interne. Oltre a ciò, il data breach potrebbe aver colpito anche alcuni contractor governativi che avevano precedentemente acquistato informazioni dall’azienda. Se confermato, tale breach potrebbe esporre i dati sensibili di localizzazione di milioni di utenti, comportando rischi significativi, immediati e a lungo termine. Tra questi figurano la potenziale de-anonimizzazione delle persone interessate, il tracciamento di individui o organizzazioni ad alto rischio, la mappatura della posizione di strutture critiche/luoghi sensibili e la vendita o l’ulteriore sfruttamento nell’underground dei dati rubati.
USA-Cina: sanzioni, designazioni e attribuzioni inedite
A inizio gennaio, l’Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro degli Stati Uniti ha sanzionato la società di cybersicurezza Integrity Technology Group (nota anche come Yongxin Zhicheng), con sede a Pechino, per il suo ruolo in attacchi informatici ai danni di target statunitensi attribuiti a Flax Typhoon. Qualche giorno dopo, il Dipartimento della Difesa (DOD) americano ha pubblicato un aggiornamento dei nomi delle cosiddette “società militari cinesi” che operano direttamente o indirettamente negli Stati Uniti, che ha previsto l’aggiunta del gigante tecnologico Tencent Holdings Limited e del produttore di batterie Contemporary Amperex Technology Co. Limited (CATL). Nello specifico, si tratta di una sorta di blacklist del Pentagono delle aziende cinesi che collaborerebbero con l’esercito di Pechino, descritta dal DOD come uno sforzo per evidenziare e contrastare la strategia di fusione militare-civile della Repubblica Popolare Cinese (RPC) che sostiene gli obiettivi di modernizzazione dell’Esercito Popolare di Liberazione (PLA), garantendo l’acquisizione di tecnologie avanzate e competenze sviluppate da società, università e programmi di ricerca della Cina che appaiono come entità civili. Oltre a ciò, tre aziende cinesi, Charter Communications, Consolidated Communications e Windstream, si sono aggiunte all’elenco delle società di telecomunicazioni violate nella campagna del gruppo cinese state-sponsored GhostEmperor. Infine, stando a quanto riferito da una nota agenzia di stampa statunitense, l’APT di Pechino Hafnium (Silk Typhoon) è stato associato al recente attacco al Dipartimento del Tesoro degli Stati Uniti che ha preso di mira specificamente l’Office of Foreign Assets Control (OFAC) e l’Ufficio del Segretario del Tesoro, e avrebbe compromesso anche l’Office of Financial Research. L’avversario avrebbe rubato una chiave digitale dal fornitore di servizi di terze parti BeyondTrust e l’avrebbe usata per accedere a informazioni non classificate relative a potenziali azioni sanzionatorie e altri documenti. L’attribuzione arriva in contemporanea con la notizia dell’imminente emanazione da parte dell’amministrazione Biden di un ordine esecutivo volto a rafforzare la sicurezza informatica degli USA che, secondo quanto riportato da persone che hanno familiarità con la questione e che hanno chiesto di non essere identificate, includerebbe aggiornamenti su autenticazione e crittografia, incorporando gli insegnamenti tratti da una serie di gravi violazioni avvenute durante la presidenza Biden, tra cui quella recente del Dipartimento del Tesoro.
Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.
Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.
Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.
Scopri di più sulla nostra soluzione di Cyber Threat Intelligence