Gateway VPN Sotto Attacco

Proto: N021019.

Con la presente Yoroi desidera informarLa riguardo alla scoperta di operazioni di attacco in corso volte alla compromissione di Organizzazioni in tutto il mondo. Gli attacchi, osservati dal National Cyber Security Centre britannico (NCSC), risultano operati da attori di minaccia avanzati e sfruttano gravi vulnerabilità in Firewall e VPN Gateway prodotti da Pulse Connect Secure, Fortinet e Palo Alto. Inoltre, parte del codice utilizzato per gli attacchi a tali vulnerabilità è stato rilasciato pubblicamente.

Le principali vulnerabilità sfruttate durante le operazioni di attacco risultano essere:

  • per Pulse Connect Secure
    • CVE-2019-11510,  lettura arbitraria di file (autenticazione non richiesta)
    • CVE-2019-11539, command injection su sessione autenticata
  • per Fortinet
    • CVE-2018-13379, lettura arbitraria di file (autenticazione non richiesta)
    • CVE-2018-13382, password reset non autenticato
    • CVE-2018-13383, esecuzione di codice arbitrario da remoto su sessione autenticata
  • per Palo Alto
    • CVE-2019-1579, esecuzione di codice arbitrario da remoto su Palo Alto Networks GlobalProtect Portal (autenticazione non richiesta)

I Produttori hanno, nei mesi trascorsi, rilasciato opportuni bollettini di sicurezza atti a risolvere le problematiche, ad esempio SA44101 di Pulse Secure, PAN-SA-2019-0020 di Palo Alto e FG-IR-18-384 di Fortigate (rif. EW N030719, N010919).

Pertanto, Yoroi consiglia di verificare lo stato di aggiornamento degli eventuali gateway potenzialmente afflitti dalle problematiche in uso presso le Vostre organizzazioni, qualora le patch di sicurezza non risultino installate Yoroi suggerisce di valutare una investigazione sui log dei dispositivi per appurare l’assenza di compromissioni in corso.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index