Falle su Organizzazioni Italiane Abusate per Campagne Malware

Proto: N041021.

Con la presente CERT-Yoroi la informa riguardo al rilevamento di nuove operazioni di attacco che abusano di infrastrutture italiane per bypassare i controlli di sicurezza delle caselle e-mail bersaglio.  

In particolare, la campagna di attacco, tracciata internamente da CERT Yoroi con l'identificativo ATK-1613, sfrutta falle di tipo XSS ed Open-Redirect per i controlli antispam perimetrali di URL filtering reputazionali. 

Risulta particolarmente importante per tutte le organizzazioni italiane con profili reputazionali internazionali appurare l'assenza di falle tipicamente classificate con punteggi di gravità medi come: 

• Cross-Site Scripting (XSS), categoria di debolezze nota con l’identificativo CWE-79, si intende la possibilità di iniettare del codice malevolo all’interno di pagine web da parte di un attore esterno. 
• Open-Redirect, categoria di debolezze nota con l’identificativo CWE-601, si intende la capacità di una applicazione web di effettuare azione di redirezione verso altri URL arbitrari.  

Considerata la sofisticazione della catena di distribuzione del malware, le recenti operazioni di attacco veicolate tramite falle sui portali pubblici italiani, CERT-Yoroi consiglia caldamente di utilizzare strumenti di protezione email avanzati con signature comportamentali aggiornate e Sandbox Yomi, e di appurare la risoluzione di vulnerabilità XSS e OpenRedirect sui portali web aziendali esposti al pubblico. 

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index