Le vulnerabilità del software prive di patch rimangono bersagli attraenti per i criminali informatici molto tempo dopo essere state scoperte. I problemi legati all'eredità non scompariranno da soli. Un'analisi di Barracuda mostra quanto questo possa essere pericoloso.
Può essere un errore fatale credere che le vulnerabilità del software identificate non siano più pericolose. Sbaglia di grosso chi ora è negligente e pensa di aspettare a chiudere il gateway, che serve urgentemente, perché ci sono cose ben più importanti da fare all'interno della propria infrastruttura informatica in questo momento. Perché è proprio su questa negligenza che molti hacker fanno affidamento e ricontrollano dove la patch non è apparsa.
Gli hacker cercano nuove e vecchie vulnerabilità
Gli hacker non si ritirano dalle reti IT solo per cercare nuove vulnerabilità sconosciute altrove. Anche anni dopo la scoperta delle vulnerabilità, il numero di sistemi ancora aperti è allarmante. Gli esperti di sicurezza Barracuda hanno recentemente analizzato i dati sugli attacchi bloccati dai sistemi Barracuda negli ultimi due mesi. Hanno rilevato centinaia di migliaia di scansioni e attacchi automatici, oltre a migliaia di scansioni, ogni giorno, per le vulnerabilità di Microsoft e VMware recentemente corrette. Di seguito, i modelli di attacco vengono esaminati in modo più dettagliato e vengono identificate le misure con cui le aziende possono proteggere la propria infrastruttura.
Vulnerabilità del software senza patch
La vulnerabilità Microsoft Hafnium è stata divulgata per la prima volta nel marzo 2021. Le vulnerabilità sfruttate erano CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065. CVE-2021-26855 è una vulnerabilità SSRF (Server-Side Request Forgery) in Exchange che consente a un utente malintenzionato di inviare richieste HTTP arbitrarie e di autenticarsi come server Exchange. CVE-2021-26855 è preferibilmente utilizzato per identificare i sistemi vulnerabili. Le restanti vulnerabilità sembrano essere legate a questa vulnerabilità per eseguire altri exploit, comprese le cosiddette webshell. Una webshell è un'interfaccia Web dannosa che consente l'accesso remoto e il controllo di un server Web eseguendo comandi arbitrari.
Dall'inizio di marzo, gli analisti di sicurezza hanno notato un aumento inizialmente moderato e successivamente significativo dei tentativi di sondaggio per CVE-2021-26855, che è continuato fino ad oggi con i tentativi di sondaggio temporaneamente aumentati e poi scesi a un livello inferiore.
Vulnerabilità in VMware vCenter Server
Una seconda drastica vulnerabilità con l'identificatore CVE-2021-21972 ha interessato più di 6700 server VMware vCenter accessibili via Internet all'inizio di quest'anno. I criminali potrebbero assumere il controllo di un server privo di patch e penetrare nell'intera rete di un'azienda. Gli analisti di Barracuda hanno continuato a scansionare regolarmente CVE-2021-21972. Sebbene ci sia stato un calo dei sondaggi, non deve rimanere così. È prevedibile che queste scansioni aumentino di volta in volta man mano che gli aggressori esaminano l'elenco delle vulnerabilità note ad alto impatto.
Questi due eventi dimostrano che gli aggressori continueranno a sondare e sfruttare le vulnerabilità del software, in particolare quelle gravi, anche dopo il rilascio di patch e mitigazioni. Gli hacker speculano con le risorse di tempo spesso carenti dei team IT, rendendo difficile tenere il passo con patch costanti.
Anche gli hacker sembrano andare nel fine settimana
Come appaiono in particolare i modelli di attacco? Mentre i bot si adattavano al corso di una giornata lavorativa per eseguire i loro attacchi, ora la settimana lavorativa è la stessa sia per gli aggressori che per le potenziali vittime. Ciò mostra la stranezza che la maggior parte degli aggressori sembra prendersi il fine settimana libero anche quando esegue attacchi automatici. La ragione di ciò, tuttavia, è probabilmente non tanto l'aumento del bisogno di svago quanto piuttosto il fatto che è più facile nascondersi tra la folla durante le varie attività piuttosto che dare l'allarme prendendo di mira i sistemi sottoutilizzati durante il fine settimana.
Command injection da SQL e attacchi di command injection
In che modo gli attacchi rientrano nei comuni tipi di attacchi di ricognizione/fuzzing e attacchi di vulnerabilità delle applicazioni (WordPress era il più popolare)? In genere, gli attacchi SQL injection predominano sugli attacchi command injection, seguiti da tutti gli altri tipi di attacco. Tuttavia, durante il periodo di indagine, l'iniezione di comandi ha portato di gran lunga, inclusi numerosi tentativi di iniettare comandi contro Windows. Questi attacchi hanno raggiunto il picco per oltre due settimane a giugno e poi sono tornati a livelli normali. I restanti attacchi sono stati più o meno al livello previsto, senza che nelle varie categorie siano stati individuati schemi di attacco specifici. È inoltre essenziale abilitare HTTPS con l'integrazione di Lets Encrypt e assicurarsi che la configurazione sia aggiornata per utilizzare i protocolli più recenti. I protocolli attualmente più sicuri sono TLS1.3 e TLS1.2. Le implementazioni che utilizzano HTTP semplice sono ancora in corso, ma è interessante notare che il traffico HTTP semplice ha un volume maggiore rispetto ai protocolli SSL/TLS meno recenti e non sicuri.
WAF o WAAP: sicuramente configurato correttamente
Gli attacchi che mirano a sfruttare le vulnerabilità note del software rappresentano spesso una sfida per i team IT quando cercano le soluzioni necessarie a causa dell'elevato numero di essi. È utile sapere che queste soluzioni vengono consolidate in prodotti WAF/WAF-as-a-Service, noti anche come Web Application e API Protection Services (WAAP). Gartner definisce i servizi WAAP come "l'evoluzione dei servizi WAF cloud". Se solo i servizi WAAP fossero basati su cloud, fornitura as-a-service di WAF, mitigazione dei bot, protezione DDoS e sicurezza API con un modello di abbonamento -Combine.
Le aziende dovrebbero assolutamente prendere in considerazione una soluzione WAF-as-a-Service o WAAP che includa la mitigazione dei bot, la protezione DDoS, la sicurezza delle API e la protezione dal riempimento delle credenziali, quindi assicurarsi che sia configurata correttamente.
Altro su Barracuda.com
Informazioni sulle reti Barracuda Barracuda si impegna a rendere il mondo un luogo più sicuro e ritiene che ogni azienda debba avere accesso a soluzioni di sicurezza a livello aziendale abilitate per il cloud, facili da acquistare, implementare e utilizzare. Barracuda protegge e-mail, reti, dati e applicazioni con soluzioni innovative che crescono e si adattano lungo il percorso del cliente. Più di 150.000 aziende in tutto il mondo si affidano a Barracuda per concentrarsi sulla crescita del proprio business. Per ulteriori informazioni, visitare www.barracuda.com.