Weekly Threats N. 03 2020

La settimana che si sta concludendo è stata segnata dalla scoperta di alcune vulnerabilità con particolare impatto. La prima – tracciata poi con codice CVE-2020-0601 e battezzata CurveBall – riguarda il componente crittografico di base Windows CryptoAPI crypt32.dll. CurveBall, che consente di spoofare certificati digitali, lanciare attacchi MitM o decifrare informazioni criptate, era stata segnalata da un alert dell’NSA come molto pericolosa prima che uscisse il bollettino mensile di Microsoft. Poi, nel giro di poche ore dalla pubblicazione delle patch, sono state diffuse due diverse PoC dell’exploit.
La seconda falla affligge, invece, Citrix Application Delivery Controller (conosciuto come NetScaler ADC) e Citrix Gateway (conosciuto come NetScaler Gateway). Tracciata con CVE-2019-19781, ha impatto critico ed espone i sistemi di oltre 80.000 compagnie in 158 paesi, fra cui USA (38) e poi UK, Germania, Olanda e Australia. Ricercatori di sicurezza hanno già rilevato oltre 700 tentativi di exploit in the wild.
È stato poi rilevato un problema di sicurezza in diversi modem via cavo, fra cui alcuni modelli Sagemcom, Technicolor, Netgear e COMPAL; chiamata “Cable Haunt” e tracciata con codice CVE-2019-19494, la vulnerabilità è di tipo buffer overflow e ha come conseguenza l’esecuzione di codice arbitrario da remoto a livello kernel.

Passiamo al panorama cyber threat internazionale. Sono state tracciate campagne altamente mirate che hanno distribuito il malware Emotet: una ha coinvolto 600 indirizzi email unici delle Nazioni Unite; un’altra, segnalata dal CERT della Lettonia, ha colpito funzionari governativi e politici della nazione baltica; la terza ha impattato anche dipendenti governativi USA.

Segnaliamo inoltre una lunga serie di campagne basate su ransomware già noti o di nuova documentazione. Fra gli inediti compaiono Ako – che ha colpito soprattutto reti aziendali – e 5ss5c – implementato dagli autori di Satan, DBGer, Lucky e Iron. Ryuk dispone ora di una nuova capacità che abusa della feature hardware nota come “Wake-on-Lan”; mentre gli attori che si avvalgono di Sodinokibi e Nemty hanno adottato le stesse strategie ricattatorie della crew di Maze, vale a dire la pubblicazione dei dati delle vittime insolventi. Guai dovuti ad infezioni di ransomware per l’Autorità aeroportuale albanese e per la compagnia italiana Cefla, con base a Imola; nel primo caso il nome del malware non è disponibile, nell’altro è stato evocato quello di Cryptolocker, associato ad una minaccia molto datata.
Restiamo nell’ambito delle questioni nostrane con la violazione degli account ufficiali dell’Ambasciata italiana in Libia, sfruttati per postare sui social dei “like” mirati a far sembrare il Governo di Roma favorevole alle operazioni di Khalifa Haftar contro Tripoli.

Nel frattempo, il gruppo di ricercatori che si firma Intrusion Truth ha finalmente tirato le fila delle proprie indagini ricollegando tutta la rete di front company e particolari individui della provincia cinese di Hainan al gruppo state-sponsored Leviathan, alias APT40.
Sempre in ambito state-sponsored, la compagnia ucraina Burisma Holdings – attiva nel settore energetico e coinvolta nell’inchiesta relativa al processo di impeachment a carico del Presidente USA Donald Trump – ha subito un attacco informatico che gli analisti ritengono di poter associare al gruppo russo Sofacy (alias APT28, Fancy Bear).

Chiudiamo la nostra rassegna settimanale con gli advisory schedulati e straordinari rilasciati per prodotti software e hardware. Hanno corretto le proprie soluzioni Oracle, VMware, Adobe, Intel, SAP, Fortinet, Mozilla, Siemens, GE/Emerson e Schneider Electric; fix anche per il plugin InfiniteWP Client di WordPress e Google Chrome.