Nuove Vulnerabilità Sfruttate dalla Botnet Mirai

 

Proto: N010918.

 

Con la presente Yoroi desidera informarLa relativamente ad una nuova evoluzione nel panorama delle minacce cyber correnti. Sono stati infatti rilevati cambiamenti intervallano delle botnet Mirai/Gafgyt, artefici di campagne di infezione auto-propagatesi in migliaia di dispositivi IoT esposti ad internet ed utilizzate in cyber attacchi distribuiti e coordinati ai danni di Organizzazioni e Provider.

Ricercatori di terze parti hanno reso noti dettagli tecnici dai quali emergono importanti trend di cambiamento all’interno di queste virulente minacce; nei campioni analizzati sono stati individuate capacità di sfruttamento delle vulnerabilità CVE-2017-5638 e CVE-2018-9866, in dettaglio:

  • CVE-2017-5638: Remote Code Execution su Apache Struts2, noto per Security Breach “Equifax”
  • CVE-2018-9866: Remote Code Execution in console SonicWall Global Management System (GMS), versioni  8.1 e inferiori (fuori supporto)

Figura 1. Codice di Attacco per dispositivi SonicWall GMS (Fonte:Unit42)


Queste evidenze suggeriscono un cambiamento nei bersagli designati dalla botnet: in passato l’interesse degli operatori malevoli risiedeva esclusivamente nell’infezione di dispositivi IoT o domestici (e.g. router GPON, Realtek SDK, dispositivi Netgear, Huawei HG532, D-Link, CCTV, DVR, Vacron NVR, … ), la comparsa di queste ultime vulnerabilità nell’arsenale della botnet suggerisce una possibile evoluzione negli obiettivi della minaccia, includendo anche dispositivi e tecnologie utilizzate da Organizzazioni e Aziende. Per questa ragione Yoroi suggerisce di verificare l’esposizione internet di tecnologie Apache Struts2 e SonicWall GMS vulnerabili, al fine di mitigare possibili propagazioni delle minacce Mirai e Gafgyt all’interno delle Vostre infrastrutture.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index