Remote Code Execution (RCE) è l'esecuzione di codice arbitrario su un sistema informatico in cui l'attaccante non ha accesso diretto alla console. Sfruttando le vulnerabilità, un hacker remoto può assumere il pieno controllo del sistema. Questo è il caso delle lacune di sicurezza in Confluence e Azure.
Ad esempio, qualsiasi utente che ha accesso a un endpoint con una versione software vulnerabile può eseguire comandi arbitrari tramite una richiesta HTTP senza richiedere un'intestazione di autorizzazione. La risposta prevista a questa richiesta sarebbe una pagina di risposta 401 "Non autorizzato". Tuttavia, l'utente può eseguire comandi con privilegi di "root". Queste minacce erano già state identificate durante l'attacco Equifax nel 2017.
Due vulnerabilità scoperte di recente sono gli ultimi sviluppi in questo tipo di attacco: la vulnerabilità di iniezione OGNL di Atlassian Confluence e una vulnerabilità che interessa l'infrastruttura di gestione aperta di Azure (OMI). I ricercatori della sicurezza di Barracuda hanno analizzato gli attacchi che tentavano di sfruttare queste vulnerabilità per un periodo di 45 giorni ad agosto e settembre 2021 e hanno identificato picchi di attacco originati da oltre 500 IP di aggressori unici. Quanto segue esamina più da vicino queste vulnerabilità, i modelli di attacco recenti e le soluzioni che le organizzazioni possono utilizzare per proteggersi da questi tipi di attacchi.
Confluence e vulnerabilità di Azure in dettaglio
1. Vulnerabilità dell'iniezione OGNL di Atlassian Confluence
La vulnerabilità Atlassian Confluence OGNL Injection è stata rivelata per la prima volta da Atlassian il 25 agosto 2021. Poco dopo, è stato aggiunto al National Vulnerability Database (CVE-2021-26084). Questa vulnerabilità consente agli attori delle minacce di inviare una richiesta "POST" utilizzando il motore di modelli di Confluence senza un'intestazione di autorizzazione. Ciò fornisce all'autore della minaccia l'accesso "root" al sistema. Gli aggressori possono iniettare codice Java tramite i parametri "queryString" e "linkCreation".
Atlassian ha annunciato che "tutte le versioni di Confluence Server e Data Center precedenti alle versioni fisse sono interessate da questa vulnerabilità." Analizzando i dati da fine agosto a fine settembre, i ricercatori della sicurezza di Barracuda hanno stabilito che gli attacchi alle vulnerabilità di Confluence sono saliti alle stelle e rimangono alti livelli poiché molti utenti di Confluence hanno ancora una versione vulnerabile del software.
2. Vulnerabilità in Azure Open Management Infrastructure (OMI)
Azure ha rilasciato CVE-2021-38647 il 15 settembre 2021. Questa vulnerabilità interessa Azure Open Management Infrastructure (OMI). Azure OMI è un agente software preinstallato e distribuito in modo invisibile all'utente in ambienti cloud. Questa installazione invisibile ora mette a rischio i clienti di Azure fino a quando non aggiornano i loro sistemi alla versione più recente di OMI.
Gli aggressori prendono di mira questi sistemi inviando un messaggio HTTPS appositamente predisposto a una delle porte in ascolto del traffico OMI (porte 1270/5985/5986), fornendo all'aggressore l'accesso iniziale al computer. I comandi inviati dall'aggressore vengono eseguiti dal servizio SCXcore, consentendo all'aggressore di sfruttare le vulnerabilità. L'attaccante può inviare un comando senza un'intestazione di autorizzazione al computer, che il server OMI considera attendibile e concede all'attaccante l'accesso "root" al sistema. Microsoft ha spiegato nel suo blog: "ExecuteShellCommand RunAsProvider esegue qualsiasi comando UNIX/Linux tramite la shell /bin/sh".
Gli aggressori mirano proprio alla vulnerabilità
Analizzando i dati dei sistemi Barracuda da metà settembre, i ricercatori di sicurezza Barracuda hanno notato un forte aumento del numero di aggressori che tentano di sfruttare questa vulnerabilità. Dopo il picco iniziale del 18 settembre, il numero di tentativi di attacco è diminuito, ma questo picco è continuato e poi si è stabilizzato nel tempo.
L'analisi degli attacchi di Barracuda nel periodo di 45 giorni di agosto e settembre ha rilevato 550 IP di aggressori univoci che tentavano di sfruttare la vulnerabilità di Atlassian Confluence e 542 IP di aggressori univoci che tentavano di sfruttare la vulnerabilità degli exploit di Azure OMI. C'erano più aggressori dietro ogni IP, il che significa che il numero di attacchi era significativamente superiore al numero di IP. I ricercatori hanno scoperto queste informazioni utilizzando l'impronta digitale del cliente e altre tecniche.
L'analisi mostra la maggior parte degli IP degli aggressori
Come si può vedere dalla heatmap sopra, la maggior parte degli IP degli aggressori si trova negli Stati Uniti, inclusa l'Alaska. Ciò potrebbe essere dovuto al fatto che la maggior parte delle server farm si trova in queste regioni. Gli attacchi sono stati inviati anche da paesi come Russia, Regno Unito, Polonia e India. Gli aggressori di tutto il mondo stanno tentando di sfruttare queste vulnerabilità e le organizzazioni devono stare al passo con i tempi per proteggere le loro applicazioni web.
Le aziende dovrebbero proteggere le applicazioni web
A causa del crescente numero di vulnerabilità nelle applicazioni web, sta diventando sempre più complesso difendersi dagli attacchi. Tuttavia, ora esistono soluzioni complete che proteggono le applicazioni Web dallo sfruttamento di queste vulnerabilità. Le soluzioni WAF/WAF-as-a-Service, note anche come servizi WAAP (Web Application and API Protection), possono aiutare a proteggere le applicazioni Web fornendo tutte le più recenti soluzioni di sicurezza in un unico prodotto facile da usare.
Con molti dipendenti che lavorano in remoto e molte applicazioni online, la necessità di una soluzione WAF-as-a-Service o WAAP non è mai stata così grande. Le aziende devono quindi assicurarsi di disporre di una soluzione che includa la mitigazione dei bot, la protezione DDoS e la sicurezza delle API.
Informazioni sulle reti Barracuda
Barracuda si impegna a rendere il mondo un luogo più sicuro e ritiene che ogni azienda debba avere accesso a soluzioni di sicurezza a livello aziendale abilitate per il cloud, facili da acquistare, implementare e utilizzare. Barracuda protegge e-mail, reti, dati e applicazioni con soluzioni innovative che crescono e si adattano lungo il percorso del cliente. Più di 150.000 aziende in tutto il mondo si affidano a Barracuda per concentrarsi sulla crescita del proprio business. Per ulteriori informazioni, visitare www.barracuda.com.
Solo in un quarto delle aziende tedesche il management si assume la responsabilità della sicurezza informatica. Soprattutto nelle aziende più piccole ➡ Leggi di più
Una società di sicurezza informatica ha dato uno sguardo al panorama delle minacce dello scorso anno. I risultati forniscono informazioni cruciali su ➡ Leggi di più
Sempre più persone utilizzano i dispositivi mobili sia nella vita di tutti i giorni che in azienda. Ciò riduce anche il rischio di “mobile ➡ Leggi di più
La sicurezza in crowdsourcing è aumentata in modo significativo nell’ultimo anno. Nel settore pubblico sono state segnalate il 151% in più di vulnerabilità rispetto all’anno precedente. ➡ Leggi di più
Un sondaggio sulla fiducia digitale ha mostrato che le banche, la sanità e il governo sono i soggetti più fidati da parte dei consumatori. I media- ➡ Leggi di più
