Grave Vulnerabilità in Servizi FortiGuard

Proto: N051119.

Con la presente Yoroi desidera informarLa riguardo ad una gravissima vulnerabilità all’interno dei servizi di sicurezza FortiGuard, utilizzati dagli appliance basati su FortiOS (FortiGuard Web Filter, AntiSpam, AntiVirus) e dagli agenti FortiClient per Windows e Mac. La criticità è nota con l’identificativo CVE-2018-9195.

La problematica risiede nell’uso di cifratura debole nei protocolli di comunicazione tra appliance e agenti verso i servizi cloud FortiGuard. Ricercatori di terze parti hanno scoperto che le chiavi di cifratura utilizzate per mettere in sicurezza questi flussi di comunicazione sono preconfigurate, “hardcoded”, ed il protocollo di cifratura risulta un semplice XOR, primitiva crittografica inidonea alla protezione di comunicazioni sensibili.

La mancata protezione dei flussi di rete verso i servizi cloud FortiGuard rende possibili agli attaccanti l’esecuzione di scenari di attacco di tipo Man-in-the-Middle (MitM) e di intercettazione del traffico. Tali circostanze possono comportare:

Il Produttore ha confermato la problematica con il bollettino FG-IR-18-100, con il quale ha reso disponibili aggiornamenti di sicurezza per le versioni:

Per via della gravità della problematica e della relativa facilità di sfruttamento per attaccanti con accessi alle reti locali o globali, Yoroi consiglia caldamente di pianificare l’applicazione delle patch di sicurezza rese disponibili dal Produttore.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Ondata di Attacchi “Sollecito Pagamento”

Proto: N041119.

Con la presente Yoroi desidera informarLa riguardo a nuovi attacchi diretti contro utenti ed Aziende italiane. I messaggi inviati dai cyber-criminali simulano il sollecito di pagamento di ipotetiche fatture insolute da parte di provider di servizi, i quali invitano le vittime a visionare documenti Excel in allegato. Qualora aperti, gli allegati sono in grado di infettare la macchina bersaglio con malware della famiglia Ursnif, capace di  intercettare traffico di rete, trafugare credenziali ed installare ulteriore malware. 

Figura. Esempio Documento Malevolo

Di seguito si riportano gli indicatori di compromissione individuate durante le analisi condotte:

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Campagna di Attacco “Nuovo Documento”

Proto: N031119.

Con la presente Yoroi desidera informarLa riguardo al rilevamento di una nuova ondata di attacchi ai danni di utenti ed Aziende italiane. Gli attacchi si manifestano attraverso messaggi di posta fraudolenti su tematiche amministrative di fatturazione, i quali invitano le vittime ad aprire link remoti volti allo scaricamento ed all’installazione di malware della famiglia Ursnif: capaci di trafugare credenziali, intercettare traffico di rete ed installare ulteriore malware. 

La campagna risulta particolarmente pericolosa in quanto la variante malware utilizzata è firmata digitalmente con certificati crittografici validi. La firma digitale apposta sull’eseguibile rende la minaccia più insidiosa in quanto potrebbe essere ignorata da alcuni sistemi perimetrali ed agenti antivirus.

Figura. Firma Digitale del Malware

Di seguito si riportano gli indicatori di compromissione individuati durante le analisi condotte:

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Vulnerabilità in Tecnologia AcuToWeb

Proto: N021119.

Con la presente Yoroi desidera informarLa riguardo alla recente scoperta di una vulnerabilità all’interno della tecnologia AcuToWeb di Micro Focus, nota software house specializzata in soluzioni software basate su dialetti del linguaggio COBOL, utilizzato in ambienti bancari ed in grandi organizzazioni.

Ricercatori indipendenti hanno infatti segnalato la presenza di una vulnerabilità di tipo "directory traversal" all’interno del servizio web di AcuToWeb (porta di default http/3000), attraverso il quale un attaccante di rete può scaricare file arbitrari dal sistema bersaglio senza alcuna autenticazione, reperendo così informazioni sensibili su configurazioni di servizio, chiavi di cifratura e credenziali utente utili ad ulteriori accessi abusivi.

La criticità risulta affliggere la versione 10.2 di AcutoWeb. Il Produttore non ha al momento rilasciato alcun bollettino a riguardo. Tuttavia, secondo le dichiarazioni del ricercatore, risulta aver confermato la problematica, in risoluzione con la versione 10.3 il cui rilascio è previsto nel mese corrente.

Considerata la tipologia di ambienti e sistemi potenzialmente afflitti dalla problematica, e la relativa semplicità di sfruttamento, Yoroi consiglia di restringere l’accesso ai servizi AcuToWeb alle sole porzioni di rete fidate, di monitorare la disponibilità di aggiornamenti da parte di Micro Focus e di investigare la presenza di eventuali anomalie legate ad attività di rete sospette dirette ai servizi AcuToWeb vulnerabili.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Aggiornamento 2019/11/15

Fonti legate a Micro Focus hanno confermato che la problematica è già stata trattata dal Produttore e che ha già reso disponibili le patch ai propri clienti. Pertanto si consiglia l'applicazione degli aggiornamenti disponibili.

0-Day in Google Chrome

Proto: N011119.

Con la presente Yoroi desidera informarLa riguardo alla recente scoperta di una grave vulnerabilità all’interno del browser web Google Chrome. La criticità è nota con l’identificativo CVE-2019-13720.

La problematica è originata da lacune nella gestione della memoria all’interno delle componenti Audio del browser, attraverso le quali un attaccante remoto può eseguire codice arbitrario ed installare malware sulla macchina bersaglio a seguito della navigazione su portali malevoli o compromessi. Ciò rappresenta una condizione di rischio in quanto la criticità può essere utilizzata in scenari di attacco Watering-Hole ed Exploit-Kit.

I ricercatori di Kaspersky indicano inoltre che la vulnerabilità è stata utilizzata in attacchi zero-day, referenziati come "Operation WizardOpium". Non è al momento possibile attribuire questa operazione di attacco a gruppi APT noti, tuttavia, i ricercatori hanno notato possibili similarità con i modus operandi di “DarkHotel”, minaccia APT legata agli ambienti Nord Coreani.

Il Manutentore ha pubblicato un apposito bollettino di sicurezza rilasciando opportune patch di sicurezza a partire dalla versione 78.0.3904.87 di Chrome. Gli aggiornamenti sono disponibili sia per Windows, sia per Mac e Linux, pertanto Yoroi consiglia di installare gli aggiornamenti del browser.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index