Weekly Threats N. 22 2019

Prosegue senza sosta l’attività di Anonymous Italia. Il collettivo ha messo a segno due nuove azioni. Nel caso più recente target dell’attacco è stata la CSAmed, compagnia italiana che opera nel campo della progettazione e realizzazione di software per l’e-procurement, sviluppatrice della piattaforma per la gestione elettronica dei processi di acquisto e di fatturazione denominata Net4Market. I dati sottratti, tra file SQL, CSV e XLS, ammontano a un totale di 5.79 Gb. Nell’altro la vittima è stata l’Accademia Italiana Privacy. Il portale ha subito sia il defacement che il dump. Tra i vari dati resi pubblici: coppie di username e password in chiaro, anagrafiche complete di utenti e dati personali di consulenti.

TA505 – gruppo cybercrime avente prevalentemente come target istituti bancari e finanziari, ai quali adesso si aggiungono altri settori industriali – ha lanciato una campagna che sta colpendo anche in Italia. Vettore di infezione sono email di spear phishing contenenti in allegato documenti excel con macro malevole. Il payload finale è un winserv.exe che consiste nel client di RMS (Remote Manipulator System), tool di amministrazione remota che permette di avere il controllo totale sul sistema.

Attività in crescendo per Emissary Panda. Il gruppo cinese, noto anche come APT27, sta prendendo di mira, tra gli altri paesi europei, anche l’Italia. Gli attaccanti sfruttano server MySQL vulnerabili per distribuire varie minacce fra cui miner, ransomware, backdoor e il RAT NewCore. Quest’ultimo è stato impiegato per colpire entità governative e data center. L’accesso ai sistemi avviene mediante attacchi di brute forcing delle credenziali o grazie all’exploit della vulnerabilità di authentication bypass che affligge la versione 5.1 di MySQL. In alternativa gli attaccanti riescono a sfruttare una webshell in associazione all’exploit per prendere il controllo del server senza ricorrere alla manipolazione delle credenziali.

In un’altra campagna, tracciata in aprile, sono stati presi di mira enti governativi di due paesi del Medio Oriente. La compromissione di primo livello è avvenuta sfruttando l’exploit per la vulnerabilità di tipo RCE tracciata con CVE-2019-0604, corretta da Microsoft nel bollettino di febbraio. Riguardo ai tool, fra cui compaiono anche strumenti legittimi come Mimikatz, sono stati censiti 24 sample unici; alcuni di essi hanno funzionalità di stealer di credenziali, altri sono stati sfruttati per il pivoting verso ulteriori sistemi target. Di particolare interesse è l’attività di scanning alla ricerca di EternalBlue, il bug tracciato con codice CVE-2017-0144.

Rispetto alle vulnerabilità, IBM ha recentemente risolto una falla critica di WebSphere Application Server (versioni 8.5 e 9.0) che avrebbe consentito di eseguire codice da remoto, con possibilità di esfiltrare informazioni e di apportare modifiche non autorizzate.

Apple ha pubblicato una RCE che permette di eseguire codice arbitrario da remoto del sistema operativo Mojave (macOS 10.14.5). Il ricercatore che ha scoperto il problema ha spiegato che è possibile avvalersene aggirando Gatekeeper, meccanismo finalizzato alla verifica delle applicazioni scaricate prima che vengano avviate. Gatekeeper considera affidabili di default sia i drive esterni che la condivisione di network e non verifica le applicazioni provenienti da essi. Un attaccante può inviare alla vittima uno ZIP contenente un link simbolico che porta a un endpoint di cui ha il controllo; la vittima si ritrova quindi in una posizione vulnerabile che però risulta validata da Gatekeeper.

Apple ha inoltre rilasciato bollettini di sicurezza che correggono falle nelle base station AirPort Extreme e AirPort Time Capsule con 802.11ac, in iTunes per Windows e in iCloud per Windows.

Recentemente è stata pubblicata la Proof-of-Concept per una vulnerabilità – non ancora risolta – che affligge tutte le versioni di Docker e che accorderebbe ad un attaccante il permesso di leggere e scrivere i file sul sistema ospite. La falla, identificata con CVE-2018-15664, dipende direttamente dalla funzione FollowSymlinkInScope.

Fortinet ha risolto due importanti falle riscontrate nel suo sistema operativo FortiOS. La prima, identificata con CVE-2018-13382, è di tipo Improper Authorization nel portale Web SSL VPN e consentirebbe a un attaccante non autenticato di modificare la password di un utente del portale richieste HTTP appositamente create. La seconda, identificata con CVE-2018-13379, è di tipo Path Traversal, risiede sempre nel portale web SSL VPN e consentirebbe a un utente non autenticato di scaricare file di sistema FortiOS attraverso speciali richieste HTTP.

Infine, relativamente ai data breach, il portale del gigante assicurativo immobiliare First American Financial Corp. ha esposto 885 milioni di record relativi a contratti di mutuo che vanno dal 2003 fino almeno a marzo 2017. I dati, accessibili senza alcun tipo di autenticazione, comprendono informazioni finanziarie di un certo rilievo. Il sito in questione è quello ufficiale della compagnia, firstam.com, il quale risulta affetto da una vulnerabilità di tipo IDOR (Insecure Direct Object Reference) che consente di visualizzare documenti diversi semplicemente conoscendo l’URL di un documento valido.

Da un recente report di Motherboard, risulterebbe poi che alcuni dipendenti di Snapchat hanno avuto accesso ai dati riservati degli utenti facendo un uso improprio di tool legittimi della piattaforma stessa. Uno degli strumenti interni sfruttati si chiama SnapLion, è stato pensato per condurre indagini sugli iscritti esclusivamente dietro mandato delle autorità giudiziarie ed è a disposizione di uno speciale dipartimento, il “Customer Ops”. E proprio questo sarebbe stato utilizzato per avere accesso a dati riservati.

In ultimo, un data breach ha interessato i sistemi di Flipboard, l’applicazione che consente di aggregare news in modo da creare un social magazine personalizzato. Gli attaccanti hanno avuto accesso ai seguenti dati: nome, username di Flipboard, indirizzo email e password offuscata. Le password di tutti gli utenti – appartenenti agli oltre 150 milioni di persone utilizzano ogni mese il servizio – sono state resettate.