5 vulnerabilità gravi da aggiornare. Parola di NSA, CISA e FBI.

Redazione RHC : 17 Aprile 2021 07:30

Tre agenzie di sicurezza statunitensi quali:

• Cybersecurity and Infrastructure Security Agency (CISA);
• Federal Bureau of Investigation (FBI) ;
• National Security Agency (NSA),

hanno pubblicato giovedì un avviso congiunto per attirare l’attenzione su cinque vulnerabilità (divulgate tra il 2018 e il 2020) su prodotti aziendali popolari che sono ancora oggetto di abusi da parte dei criminali informatici russi per violare le reti aziendali e governative.

Si tratta della Russian Foreign Intelligence Service (SVR), piuttosto che i loro soliti nomi in codice come APT29 e Cozy Bear, utilizzati dal settore della sicurezza informatica, SI tratta appunto di gruppi di criminalità informatica organizzata associati al governo russo.

L’avviso congiunto è stato rilasciato contemporaneamente assieme ad una serie di sanzioni economiche contro il governo russo, oltre che verso le aziende tecnologiche russe e i cittadini russi.

Nelle sanzioni, l’amministrazione Biden ha formalmente accusato l’SVR e le sue unità di hacking di aver orchestrato l’attacco alla catena di approvvigionamento di SolarWinds.

L’ avviso di sicurezza congiunto ha infatti lo scopo di divulgare ulteriori tattiche che l’SVR sta ancora utilizzando oggi per attaccare le reti private e pubbliche statunitensi e alleate.

CISA, FBI e NSA hanno affermato che l’SVR scansiona frequentemente le reti alla ricerca di sistemi che sono stati lasciati senza patch per vulnerabilità note pubblicamente “nel tentativo di ottenere credenziali di autenticazione per consentire un ulteriore accesso”.

Le vulnerabilità mirate includevano:

• CVE-2018-13379 – impatto su FortiOS di Fortinet
• CVE-2019-9670 – impatto su Zimbra Collaboration Suite
• CVE-2019-11510 – impatto su Pulse Secure VPN
• CVE-2019-19781 – impatto sui gateway di rete Citrix ADC
• CVE-2020-4006 – impatto su VMware Workspace ONE Access

Tutte e cinque le vulnerabilità sono ben note e in precedenza sono state oggetto di abusi in attacchi sia da parte di criminali informatici national-state che di gruppi di criminalità informatica.

Ad esempio, l’SVR aveva precedentemente utilizzato le prime quattro vulnerabilità dell’elenco sopra per prendere di mira e violare le reti di aziende che lavorano nello sviluppo del vaccino COVID-19, secondo un avviso di sicurezza USA-Regno Unito pubblicato a luglio 2020.

La NSA ha anche rilasciato un avviso di sicurezza a dicembre 2020 avvertendo le aziende statunitensi che anche i criminali russi stavano abusando del quinto bug, la vulnerabilità VMWare.

In precedenza, nell’ottobre 2019 la NSA aveva anche avvertito le aziende e le agenzie governative statunitensi che gli attori statali russi stavano sfruttando i bug di Fortinet e Pulse Secure VPN per violare le reti.

“La mitigazione di queste vulnerabilità è di fondamentale importanza in quanto le reti statunitensi e alleate vengono costantemente scansionate, prese di mira e sfruttate dagli attori informatici sponsorizzati dallo stato russo”, ha affermato la NSA in un comunicato stampa.

Le tre agenzie hanno spesso pubblicato avvisi simili negli ultimi due-tre anni al fine di sabotare le operazioni straniere. Gli obiettivi di questi avvisi in precedenza includevano anche gruppi informatici cinesi, iraniani e nordcoreani.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.