Weekly Threats N. 36 2020

La nostra rassegna settimanale si apre sulla scena italiana con due minacce note che continuano a colpire attraverso email malevole: nel caso di LokiBot è stato abusato il nome della compagnia indiana SPUN MICRO, in quello di MassLogger è stato utilizzato il logo dell’istituto bancario Intesa San Paolo.

A livello globale si registrano due nuove minacce: il cryptostealer multitasking e multivaluta KryptoCibule e il ransomware as a service SMAUG, che è in grado di colpire sistemi basati su Windows, Linux e macOS.
Segnatamente in Europa, si sospetta che alcuni ISP (internet service provider) siano stati coinvolti in un vasto attacco DDoS, partito dai territori del Benelux e approdato verosimilmente anche in Francia. Il caso resta ancora tutto da chiarire, ma, secondo quanto riportato da molti utenti su Twitter, fra le compagnie interessate vi sarebbero Caiway, Delta, Signet (che a sua volta gestisce l’infrastruttura di TransIP), SFR, Bouygues Telecom, K-Net e FDN.

Riportiamo, poi, due incidenti che hanno variamente coinvolto realtà governative internazionali.
L’offensiva contro lo Stortinget, sede del Parlamento norvegese, è stata resa nota lo scorso 1 settembre da fonti giornalistiche. La Norwegian National Security Authority (NSA), che ha collaborato a fronteggiare il problema, avrebbe rilevato compromissioni di account email di membri eletti e impiegati; fra le parti politiche, il portavoce del Partito Laburista avrebbe dichiarato che anche i propri impiegati e parlamentari risultano coinvolti nell’incidente.
Inoltre, il Ministero degli Affari Esteri della Georgia ha denunciato un cyber attacco ai danni del Ministero della Salute; una parte dei documenti sottratti, manipolati allo scopo di screditare le attività di quel dicastero, sarebbe stata poi pubblicata su un sito web straniero.

Quanto agli APT, ha destato un certo interesse l’iraniano Pioneer Kitten (alias Fox Kitten, Parisite, UNC757) che da mesi sta attaccando i sistemi di numerose compagnie tramite alcune vulnerabilità dei software VPN e che ha ora cominciato a vendere in rete gli accessi conquistati. Grazie agli exploit per i bug di Pulse Secure “Connect” enterprise VPN (CVE-2019-11510), server VPN Fortinet che eseguono FortiOS (CVE-2018-13379), Palo Alto Networks “Global Protect” VPN server (CVE-2019-1579), server ADC Citrix e network gateway Citrix (CVE-2019-19781), F5 Networks BIG-IP load balancer (CVE-2020-5902) questo team ha installato backdoor che risultano utilizzate anche dai connazionali APT33 (Greenbug), Oilrig (APT34) e Chafer.
Nel frattempo, il nordcoreano Lazarus sta operando contro organizzazioni giapponesi; i cinesi individuati come TA413 hanno colpito istituzioni governative europee e target della comunità tibetana con il RAT Sepulcher; il russo Anunak ha lanciato OpBlueRaven, basata sulla tecnica “BadUSB” che sfrutta l’ingegneria sociale per indurre le vittime a collegare dispositivi USB malevoli alle proprie macchine.

Chiudiamo con una nutrita lista di vulnerabilità, molte delle quali risultano già sfruttate in the wild.
Il plugin Magmi di Magento – i cui bug sono stati sfruttati in passato da attori della galassia Magecart – è impattato da una vecchia CSRF (CVE-2020-5776) che non è stata ancora corretta e da una authentication bypass (CVE-2020-5777) di più recente scoperta.
Il plugin File Manager di WordPress è invece afflitto da una RCE di massima gravità (CVSS 10.0) che è già al centro di numerosi tentativi di exploitation. Le correzioni sono state inserite nella versione 6.9, rilasciata a poche ore dalla rilevazione degli oltre 450.000 attacchi; si stima che vi siano più di 700.000 installazioni attive ed esposte.
Guai anche per vBulletin: a partire dal 10 agosto scorso sono stati rilevati exploit di una falla pre-auth (CVE-2020-17496) che funge da bypass per la patch di un altro bug critico risolto a settembre 2019 (CVE-2019-16759); la patch per il nuovo problema è stata rilasciata, ma i sistemi non aggiornati sono ancora moltissimi.
Sotto attacco sono anche la due falle di tipo memory exhaustion CVE-2020-3566 e CVE-2020-3569 (CVSS 8.6) del sistema operativo per IoT di Cisco, IOS XR; il problema – che è ancora in attesa di una soluzione – risiede nella feature Distance Vector Multicast Routing Protocol (DVMRP) e può determinare condizioni di instabilità in altri processi. Un’altra vulnerabilità critica (CVSS 9.9) che impatta il messenger Jabber di Cisco è stata invece risolta: si tratta della CVE-2020-3495, di tipo RCE, rilevata nella versione per Windows.

[post_tags]