L’Agenzia per la Sicurezza delle Infrastrutture e della Cybersecurity ha emesso una direttiva d’urgenza affinché si correggano critiche vulnerabilità di VPN.
Nella gestione delle infrastrutture informatiche, assicurare la sicurezza dei propri network è una responsabilità cruciale che le agenzie federali non possono permettersi di trascurare. Lo dimostra l’annuncio recente da parte dell’Agenzia per la Sicurezza delle Infrastrutture e della Cybersecurity (CISA) che ha imposto alle agenzie governative degli Stati Uniti una direttiva di emergenza per la correzione immediata di una serie di gravi falle di sicurezza che interessano i software di virtual private network (VPN) — Ivanti Connect Secure e Ivanti Policy Secure.
Le vulnerabilità, divulgate pubblicamente dall’azienda di software con base nello Utah il 10 gennaio, hanno suscitato preoccupazione per la loro natura critica e per il fatto che, se sfruttate, possono consentire un accesso non autorizzato alle reti compromettendo gravemente la sicurezza dei dati.
Eric Goldstein, direttore esecutivo per la cybersecurity presso la CISA, ha evidenziato durante una conferenza stampa che, sebbene non siano stati confermati attacchi diretti alle agenzie, al momento del comunicato, era in atto un’indagine per valutare l’eventuale targeting sui dispositivi vulnerabili. Secondo quanto comunicato, circa 15 agenzie che utilizzavano i dispositivi vulnerabili erano riuscite a mitigare tempestivamente i bug. Tuttavia, la campagna sembra essere stata per lo più di tipo opportunistico.
Una delle tecniche osservate consisteva nel deploy di web shells, porzioni di codice che permettono agli attaccanti di mantenere un controllo persistente sui dispositivi per poi utilizzarli in seguito per varie attività illecite. In risposta alla divulgazione da parte di Ivanti, la CISA ha subito avviato una comunicazione con le agenzie federali, coordinando più teleconferenze con i loro centri operativi di sicurezza.
Le azioni per risolvere tali vulnerabilità si sono rese urgenti non solo per la portata dell’attacco, che ha colpito oltre 2.100 dispositivi in tutto il mondo, ma anche per i soggetti coinvolti. La firma di cybersecurity Volexity ha osservato la compromissione iniziale a partire dalla prima settimana di dicembre, attribuendo la campagna iniziale a un non identificato gruppo di stato-nazione cinese, tracciato come UTA0178. Successivamente all’exploit iniziale, numerose altre entità minacciose hanno aderito alla campagna.
Sebbene la CISA non abbia attribuito la campagna a nessun attore specifico, i gruppi di hacker cinesi hanno già in passato preso di mira i prodotti Ivanti. Anche il gruppo di cybersecurity GreyNoise ha registrato l’installazione di cryptominer su dispositivi Ivanti vulnerabili.
Per quanto Ivanti abbia affermato di essere al corrente di meno di 20 clienti impattati dalle vulnerabilità prima della divulgazione pubblica, ciò non minimizza la gravità della situazione. Un attacco alla catena di approvvigionamento è stato, inoltre, escluso dall’azienda.
La CISA ha osservato una “ampia e attiva sfruttamento” delle vulnerabilità, che potrebbero portare a un compromesso completo delle reti se combinate. Si attende che le agenzie governative civili federali — quei dipartimenti e agenzie che non appartengono al settore militare e dell’intelligence — adempiano agli aggiornamenti entro la scadenza stabilita.
Sebbene Ivanti abbia fornito una soluzione temporanea attraverso un file importabile nel software interessato, un aggiornamento definitivo è ancora in attesa di rilascio. Le agenzie governative sono anche tenute ad eseguire un controllo esterno fornito da Ivanti per verificare eventuali compromissioni, benché Volexity abbia riscontrato che lo strumento interno di Ivanti è stato modificato in maniera da non rilevare alcuna compromissione.
Infine, si è assistito anche a un intervento da parte della società di cybersecurity Mandiant, che ha fornito un’analisi dettagliata dimostrando la presenza di cinque strain di malware utilizzati per operazioni di spionaggio e stabilire persistenza. Sebbene Mandiant non abbia associato l’attività di exploitazione a un gruppo specifico, è presumibile che dietro ci sia un attore statuale mosso da motivazioni spionistiche.
- L’intervento urgente della CISA sulle vulnerabilità delle VPN Ivanti
- Dinamiche e rischi della cybersecurity nell’era digitale
- La Privacy nella rete: come tutelare le informazioni personali
- Il ruolo dei cryptominer nella compromissione dei dispositivi Ivanti
- Analisi approfondita dell’exploitation delle VPN Ivanti da parte di Volexity