Grave Vulnerabilità 0-Day su Citrix ADC e NetScaler

Proto: N020120.

Con la presente Yoroi desidera informarLa riguardo ad una grave vulnerabilità 0day presente nelle soluzione tecnologiche NetScaler, Citrix Application Delivery Controller (ADC) e Citrix Gateway, una tra le principali soluzioni tecnologiche adottate in contesti Enterprise per la gestione, il bilanciamento e la fruibilità delle applicazioni aziendali in uso. La criticità è nota con l’identificativo CVE-2019-19781.

La problematica è originata da lacune nella gestione delle richieste http client da parte delle interfacce web degli Appliance in questione, che rendono possibile ad un attaccante remoto di eseguire comandi arbitrari all’interno del sistema, installare backdoor e malware senza alcuna di autenticazione.

Figura. Potenziale esposizione Citrix NetScaler in Italia (Fonte:ShodanHQ)

Il Produttore ha confermato la problematica attraverso il bollettino CTX267027, dove risulta pianificato il rilascio di aggiornamenti firmware a partire dal 20 Gennaio 2020 in poi per tutte le versioni supportate di:

Sono inoltre disponibili mitigazioni temporanee atte a placare la criticità in attesa del rilascio patch di sicurezza ufficiali, rese note dal Vendor con il bollettino CTX267679. Nella fattispecie sono disponibili variazioni alle configurazioni e policy volte ad inibire lo sfruttamento della vulnerabilità per installazioni in modalità "Standalone", "High Availability" e "Cluster".

Per via della possibile esposizione internet delle tecnologie vulnerabili, del pubblico rilascio di dettagli tecnici e strumenti di attacco volti a sfruttare la problematica e della presenza di tentativi di attacco in corso, Yoroi consiglia caldamente di applicare con urgenza le mitigazioni proposte dal Produttore e di pianificare l’installazione degli aggiornamenti firmware previsti per fine Gennaio 2020.  

Yoroi consiglia inoltre di effettuare controlli ed investigazioni precauzionali all’interno dei log degli appliance Citrix ADC e NetScaler, nella fattispecie sui file di log “httpaccess.log” e “httperror.log”, ricercando richieste similari a “POST /vpn/../vpns/portal/scripts/newbm.pl”; nei file di log “bash.log”, ricercando l’utilizzo di comandi lanciati inusualmente (e.g. "curl", "uname", "whoami") e di verificare l’eventuale presenza di processi anomali lanciati dai servizi web.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Attacchi Zero-Day su Mozilla Firefox

 Proto: N010120.

Con la presente Yoroi desidera informarLa riguardo alla recente scoperta di una vulnerabilità 0-day all’interno di Mozilla Firefox, terzo browser più diffuso nel 2019. La criticità è nota con l’identificativo CVE-2019-17026.

La problematica è originata dalla fallace gestione di alcuni alias durante la valorizzazione di vettori e array all’interno del motore JavaScript del browser. Questa circostanza può essere sfruttata da attaccanti remoti per eseguire codice arbitrario ed installare malware all’interno del PC della vittima, ad esempio a seguito dell’apertura di appositi link, della navigazione su siti web compromessi o in scenari di attacco Watering-Hole.

Il Produttore ha confermato la criticità della questione con il bollettino MFSA2020-03, dove ha rilasciato versioni del browser in grado di risolvere la problematica, nel dettagio:

Mozilla ha inoltre confermato di essere a conoscenza di casistiche di attacchi mirati che stanno attivamente sfruttando la vulnerabilità, pertanto Yoroi consiglia caldamente di pianificare l’installazione delle patch di sicurezza all’interno del parco macchine client in Vostra gestione.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Importanti Vulnerabilità in Equipaggiamento Siemens

Proto: N051219.

Con la presente Yoroi desidera informarLa riguardo alla recente scoperta di importanti vulnerabilità negli equipaggiamenti Siemens SPPA-T3000, application server utilizzati nei sistemi di controllo distribuito in ambienti SCADA ed infrastrutture critiche nel settore Energetico. 

Ricercatori di terze parti hanno infatti individuato 19 vulnerabilità nel codice dei dispositivi SPPA-T3000 e 35 nel Migration Server MS3000. Le falle scoperte costituiscono un rischio di sicurezza in quanto rendono possibile ad attaccanti con visibilità di rete di eseguire codice arbitrario, ottenere hash di credenziali, forzare reset password, caricare file arbitrari ed accedere a servizi amministrativi senza autenticazione, rendendo possibili accessi abusivi, manomissioni e sabotaggi.

Siemens ha confermato le problematiche per tutte le versioni “MS3000 Migration Server” ed “SPPA-T3000 Application Server” attraverso il bollettino SSA-451445, nel quale ha rilasciato il service pack “SPPAT3000 Service Pack R8.2 SP1” in grado di risolvere le falle.

Considerata la potenziale criticità dei dispositivi afflitti e la relativa semplicità di sfruttamento delle vulnerabilità in oggetto, Yoroi consiglia di pianificare l’applicazione degli aggiornamenti resi disponibili dal Produttore e di restringere quanto più possibile l’accesso ai segmenti di rete dove risiedono i dispositivi Siemens MS3000 e SPPA-T3000, e di monitorare eventuale traffico anomalo verso le porte 80/TCP, 8090/TCP, 8095/TCP, 8080/TCP, 1099/TCP, 5010/TCP, 8888/TCP, e 7061/TCP di questi dispositivi.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Nuovi Attacchi Ursnif in Corso "GLS-Italy"

Proto: N041219.

Con la presente Yoroi desidera informarLa riguardo a nuovi attacchi in corso verso le aziende italiane. Le email fraudolente in circolazione tentano di simulare comunicazioni provenienti da noti Corrieri Espresso, al loro interno sono però presenti allegati Excel infetti appositamente studiati per attivarsi su PC di utenti italiani.

Figura. Esempio documento Malevolo

Questi documenti sono usati per inoculare una variante malware della famiglia Ursnif nelle macchine bersaglio, minaccia in grado di installare ulteriori agenti malevoli, intercettare il traffico di rete, rubare password e credenziali salvate. 

Di seguito si riportano gli indicatori di compromissione collezionati durante le analisi condotte:

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Nuova Ondata di Attacchi Ursnif

Proto: N031219.

Con la presente Yoroi desidera informarLa riguardo ad una nuova ondata di attacchi ai danni di aziende ed organizzazioni italiane. Gli attacchi si manifestano con email fraudolente a tema legale create per invitare la vittima a scaricare ed aprire archivi contenenti codici malevoli VBScript, utilizzati dai cyber criminali per inoculare malware della famiglia Ursnif (TH-196) all’interno delle macchine bersaglio. 

Il malware in questione è stato inoltre digitalmente firmato con certificati validi. Pertanto risulta molto pericoloso per via delle sue capacità evasive, anche a causa dello sfruttamento di servizi cloud Sharepoint per la distribuzione del malware.

Figura. Firma digitale Eseguibile Malevole

Di seguito si riportano gli indicatori di compromissione collezionati durante le analisi condotte:

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Grave Vulnerabilità in Sistemi OpenBSD

Proto: N021219.

Con la presente Yoroi desidera informarLa riguardo alla recente scoperta di una importante vulnerabilità all’interno delle tecnologie basate sul sistema operativo OpenBSD, utilizzato come base per la realizzazione di sistemi embedded, dispositivi e servizi di rete oltre che appliance di sicurezza. La criticità è nota con  l’identificativo CVE-2019-19521.

La problematica è causata da lacune nella gestione dei parametri di autenticazione all’interno della libreria “libc” di sistema. Stando al bollettino pubblicato dai ricercatori, la circostanza può essere sfruttata sia localmente che da remoto per accedere ai sistemi bypassando ogni eventuale autenticazione

La falla può quindi permettere accessi abusivi remoti per via dell’utilizzo di funzionalità di autenticazione vulnerabili in servizi di sistema come “ldapd”, di autenticazione RADIUS "radiusd" e di posta elettronica "smtpd".

Il Manutentore ha confermato la problematica e rilasciato opportune patch di sicurezza per OpenBSD 6.6, incorporandole nella codebase della versione stabile del sistema operativo.

Per via della disponibilità di dettagli tecnici atti a riprodurre la criticità e la potenziale esposizione di servizi affetti (e.g. servizi di posta e di autenticazione radius), Yoroi consiglia di monitorare la disponibilità di aggiornamenti per Prodotti e Dispositivi basati su OpenBSD all’interno della Vostra infrastruttura, richiedendo ai relativi Vendor informazioni sullo stato di vulnerabilità delle relative tecnologie. 

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Tecnologie Fortinet Vulnerabili a “TCP SACK panic attack”

Proto: N011219.

Con la presente Yoroi desidera informarLa riguardo ad alcuni importanti aggiornamenti rilasciati da Fortinet per vari suoi prodotti, tra i quali gli appliance perimetrali FortiGate

Le problematiche presenti nei firmware Fortinet sono note con l’alias TCP SACK: lacune nella gestione della memoria nelle funzionalità di Selective Acknowledgement (SACK) dello stack-TCP di sistema, sfruttabili da attaccanti di rete privi di autenticazione per generare condizioni di disservizio (Rif. Early Warning N060619).

Fortinet ha recentemente rilasciato il bollettino di sicurezza FG-IR-19-180 nel quale indica come potenzialmente affette le famiglie di prodotto FortiAnalyzer, FortiAP, FortiSwitch e FortiGate, suggerendo l’aggiornamento alle versioni:

Considerate le tipologie di dispositivi afflitti ed il potenziale impatto di eventuali attacchi, unite alla disponibilità di dettagli tecnici ed alla potenziale esposizione delle tecnologie vulnerabili, Yoroi consiglia di pianificare l'installazione degli aggiornamenti messi a disposizione dal Produttore e di valutare l’applicazione dei workaround per Fortiswitch, ovvero la configurazione di valori soglia per il parametro Maximum Segment Size, e per FortiGate, abilitando la signature IPS “Linux.Kernel.TCP.SACK.Panic.DoS“.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Grave Vulnerabilità in Servizi FortiGuard

Proto: N051119.

Con la presente Yoroi desidera informarLa riguardo ad una gravissima vulnerabilità all’interno dei servizi di sicurezza FortiGuard, utilizzati dagli appliance basati su FortiOS (FortiGuard Web Filter, AntiSpam, AntiVirus) e dagli agenti FortiClient per Windows e Mac. La criticità è nota con l’identificativo CVE-2018-9195.

La problematica risiede nell’uso di cifratura debole nei protocolli di comunicazione tra appliance e agenti verso i servizi cloud FortiGuard. Ricercatori di terze parti hanno scoperto che le chiavi di cifratura utilizzate per mettere in sicurezza questi flussi di comunicazione sono preconfigurate, “hardcoded”, ed il protocollo di cifratura risulta un semplice XOR, primitiva crittografica inidonea alla protezione di comunicazioni sensibili.

La mancata protezione dei flussi di rete verso i servizi cloud FortiGuard rende possibili agli attaccanti l’esecuzione di scenari di attacco di tipo Man-in-the-Middle (MitM) e di intercettazione del traffico. Tali circostanze possono comportare:

Il Produttore ha confermato la problematica con il bollettino FG-IR-18-100, con il quale ha reso disponibili aggiornamenti di sicurezza per le versioni:

Per via della gravità della problematica e della relativa facilità di sfruttamento per attaccanti con accessi alle reti locali o globali, Yoroi consiglia caldamente di pianificare l’applicazione delle patch di sicurezza rese disponibili dal Produttore.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Ondata di Attacchi “Sollecito Pagamento”

Proto: N041119.

Con la presente Yoroi desidera informarLa riguardo a nuovi attacchi diretti contro utenti ed Aziende italiane. I messaggi inviati dai cyber-criminali simulano il sollecito di pagamento di ipotetiche fatture insolute da parte di provider di servizi, i quali invitano le vittime a visionare documenti Excel in allegato. Qualora aperti, gli allegati sono in grado di infettare la macchina bersaglio con malware della famiglia Ursnif, capace di  intercettare traffico di rete, trafugare credenziali ed installare ulteriore malware. 

Figura. Esempio Documento Malevolo

Di seguito si riportano gli indicatori di compromissione individuate durante le analisi condotte:

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Campagna di Attacco “Nuovo Documento”

Proto: N031119.

Con la presente Yoroi desidera informarLa riguardo al rilevamento di una nuova ondata di attacchi ai danni di utenti ed Aziende italiane. Gli attacchi si manifestano attraverso messaggi di posta fraudolenti su tematiche amministrative di fatturazione, i quali invitano le vittime ad aprire link remoti volti allo scaricamento ed all’installazione di malware della famiglia Ursnif: capaci di trafugare credenziali, intercettare traffico di rete ed installare ulteriore malware. 

La campagna risulta particolarmente pericolosa in quanto la variante malware utilizzata è firmata digitalmente con certificati crittografici validi. La firma digitale apposta sull’eseguibile rende la minaccia più insidiosa in quanto potrebbe essere ignorata da alcuni sistemi perimetrali ed agenti antivirus.

Figura. Firma Digitale del Malware

Di seguito si riportano gli indicatori di compromissione individuati durante le analisi condotte:

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Vulnerabilità in Tecnologia AcuToWeb

Proto: N021119.

Con la presente Yoroi desidera informarLa riguardo alla recente scoperta di una vulnerabilità all’interno della tecnologia AcuToWeb di Micro Focus, nota software house specializzata in soluzioni software basate su dialetti del linguaggio COBOL, utilizzato in ambienti bancari ed in grandi organizzazioni.

Ricercatori indipendenti hanno infatti segnalato la presenza di una vulnerabilità di tipo "directory traversal" all’interno del servizio web di AcuToWeb (porta di default http/3000), attraverso il quale un attaccante di rete può scaricare file arbitrari dal sistema bersaglio senza alcuna autenticazione, reperendo così informazioni sensibili su configurazioni di servizio, chiavi di cifratura e credenziali utente utili ad ulteriori accessi abusivi.

La criticità risulta affliggere la versione 10.2 di AcutoWeb. Il Produttore non ha al momento rilasciato alcun bollettino a riguardo. Tuttavia, secondo le dichiarazioni del ricercatore, risulta aver confermato la problematica, in risoluzione con la versione 10.3 il cui rilascio è previsto nel mese corrente.

Considerata la tipologia di ambienti e sistemi potenzialmente afflitti dalla problematica, e la relativa semplicità di sfruttamento, Yoroi consiglia di restringere l’accesso ai servizi AcuToWeb alle sole porzioni di rete fidate, di monitorare la disponibilità di aggiornamenti da parte di Micro Focus e di investigare la presenza di eventuali anomalie legate ad attività di rete sospette dirette ai servizi AcuToWeb vulnerabili.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Aggiornamento 2019/11/15

Fonti legate a Micro Focus hanno confermato che la problematica è già stata trattata dal Produttore e che ha già reso disponibili le patch ai propri clienti. Pertanto si consiglia l'applicazione degli aggiornamenti disponibili.

0-Day in Google Chrome

Proto: N011119.

Con la presente Yoroi desidera informarLa riguardo alla recente scoperta di una grave vulnerabilità all’interno del browser web Google Chrome. La criticità è nota con l’identificativo CVE-2019-13720.

La problematica è originata da lacune nella gestione della memoria all’interno delle componenti Audio del browser, attraverso le quali un attaccante remoto può eseguire codice arbitrario ed installare malware sulla macchina bersaglio a seguito della navigazione su portali malevoli o compromessi. Ciò rappresenta una condizione di rischio in quanto la criticità può essere utilizzata in scenari di attacco Watering-Hole ed Exploit-Kit.

I ricercatori di Kaspersky indicano inoltre che la vulnerabilità è stata utilizzata in attacchi zero-day, referenziati come "Operation WizardOpium". Non è al momento possibile attribuire questa operazione di attacco a gruppi APT noti, tuttavia, i ricercatori hanno notato possibili similarità con i modus operandi di “DarkHotel”, minaccia APT legata agli ambienti Nord Coreani.

Il Manutentore ha pubblicato un apposito bollettino di sicurezza rilasciando opportune patch di sicurezza a partire dalla versione 78.0.3904.87 di Chrome. Gli aggiornamenti sono disponibili sia per Windows, sia per Mac e Linux, pertanto Yoroi consiglia di installare gli aggiornamenti del browser.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index