Dal gennaio 2023, i criminali informatici prendono di mira le implementazioni delle soluzioni software ManageEngine di Zoho Corporation in tutto il mondo con un attacco opportunistico. I criminali informatici utilizzano scansioni automatiche per attingere a un ampio campo di potenziali vittime di ransomware o spionaggio industriale.
I laboratori di Bitdefender hanno analizzato i primi attacchi nella loro telemetria. La nuova campagna è un altro esempio delle più comuni scansioni di vulnerabilità opportunistiche, inizialmente automatizzate da parte dei criminali informatici, seguite da attacchi mirati ibridi. L'obiettivo degli aggressori è eseguire il codice in remoto (Remote Code Execution – RCE) per riprodurre payload aggiuntivi o per avviare lo spionaggio industriale. In tutto il mondo sono potenzialmente interessati da 2.000 a 4.000 server con accesso a Internet. Una patch è fortemente raccomandata. ManageEngine aveva già pubblicato il report sulla vulnerabilità CVE-10-2023 il 2022 gennaio 47966, che interessa 24 prodotti.
Patch di vulnerabilità disponibile
ManageEngine, la divisione di gestione IT aziendale di Zoho Corporation, offre un ampio portafoglio di strumenti in tempo reale per monitorare gli ambienti IT. Gli attacchi all'exploit ManageEngine CVE-20-2023 sono aumentati in tutto il mondo dal 2022 gennaio 47966. Questa Remote Code Execution (RCE) consente la completa acquisizione dei sistemi compromessi da parte di un utente malintenzionato non autenticato. Un totale di 24 diversi prodotti ManageEngine sono vulnerabili. Da due a quattromila server con connessione a Internet dispongono di versioni di ManageEngine che sono potenziali vittime con il Proof of Concept (PoC) documentato dal team di Horizon3.ai. Non tutti i server possono essere attaccati con questo PoC perché il framework XML Security Assertion Markup Language (SAML) deve essere configurato.
🔎 Attacchi ibridi: la scansione automatica per la vulnerabilità RCE si trasforma in un attacco mirato (Immagine: Bitdefender).
Gli attacchi ibridi spray-and-pray sono di tendenza
Gli attacchi attuali sono un altro esempio di una crescente tendenza a lanciare attacchi globali scalabili. Il punto di partenza è una scansione opportunistica automatizzata per una vulnerabilità RCE, spesso dopo un PoC pubblicato. Tali attacchi hanno già preso di mira ambienti Microsoft Exchange, Apache o VMware ESXI. I sistemi vulnerabili scoperti durante la scansione vengono quindi automaticamente compromessi. Come risultato di tali tattiche "spray-and-pray", anche se molte aziende correggono i propri sistemi, i criminali informatici possono attaccare numerosi altri server con connettività Internet.
Potenziale di rischio dispiegato
Nei sistemi privi di patch, gli aggressori implementano quindi strumenti aggiuntivi. I broker di accesso iniziale che vendono la loro conoscenza delle vulnerabilità hanno tentato di inizializzare il software AnyDesk per l'accesso remoto persistente. In altri casi, gli autori hanno giocato il carico utile di un nuovo attacco ransomware Buhti. Altri hanno cercato di sfruttare lo strumento di simulazione dello spionaggio industriale Cobalt Strike o lo strumento di teaming RAT el Red per pentesting e alienarli per i loro scopi.
Gli aggressori spesso modificano il PoC solo in minima parte. Di conseguenza, l'effetto immediato di un attacco è inizialmente limitato. Molte vittime reagiscono quindi solo con riparazioni temporanee o soluzioni alternative. I sistemi sono quindi inizialmente considerati immuni, ma sono aperti alla successiva modifica da parte degli aggressori.
Le aziende dovrebbero rattoppare urgentemente i loro sistemi. Sono importanti anche le soluzioni che valutano la reputazione di indirizzi IP, domini o URL. Anche gli approcci estesi di rilevamento e risposta aiutano. Anche l'aiuto esterno dei servizi gestiti di rilevamento e risposta migliora la difesa contro tali aggressori.
Altro su Bitdefender.com
Informazioni su Bitdefender Bitdefender è un leader globale nelle soluzioni di sicurezza informatica e nel software antivirus, proteggendo oltre 500 milioni di sistemi in più di 150 paesi. Dalla sua fondazione nel 2001, le innovazioni dell'azienda hanno regolarmente fornito eccellenti prodotti di sicurezza e protezione intelligente per dispositivi, reti e servizi cloud per clienti privati e aziende. In qualità di fornitore preferito, la tecnologia Bitdefender si trova nel 38% delle soluzioni di sicurezza implementate nel mondo ed è affidabile e riconosciuta da professionisti del settore, produttori e clienti. www.bitdefender.de