Redazione RHC : 26 Febbraio 2025 07:28
Una vulnerabilità critica legata all’esecuzione di codice remoto (RCE), CVE-2023-20118, che colpisce i router Cisco Small Business, è diventata una nuova arma per i criminali informatici che distribuiscono webshell e payload backdoor avanzati. La vulnerabilità, causata da una convalida errata degli input nell’interfaccia di gestione basata sul Web dei router, consente ad aggressori non autenticati di eseguire comandi arbitrari inviando richieste HTTP appositamente predisposte.
Questa falla è stata sfruttata attivamente dalla fine di gennaio 2025, come osservato dal team Threat Detection & Research (TDR) di Sekoia.io. Tra il 22 e il 31 gennaio 2025, alcuni aggressori hanno sfruttato questa vulnerabilità per distribuire una webshell sui router Cisco presi di mira.
L’attacco è iniziato con comandi di ricognizione per confermare la presenza della webshell. In caso di assenza, gli aggressori la distribuivano incorporando payload dannosi nelle richieste HTTP. La webshell è stata codificata in Base64 e compressa tramite gzip prima di essere inserita nello script di autenticazione del router per garantirne la persistenza.
 Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Per l’esecuzione dei comandi, la webshell distribuita richiedeva una chiave di autenticazione nelle intestazioni HTTP. Questo meccanismo ha consentito agli aggressori di mantenere il controllo sui dispositivi compromessi, riducendo al contempo l’esposizione al rilevamento. Ma l’analisi suggerisce che la webshell serviva principalmente come meccanismo di distribuzione di malware di seconda fase, poiché durante le scansioni sono stati identificati solo quattro router infetti.
Gli aggressori hanno coordinato attacchi simultanei da più indirizzi IP, il che è indicativo di attività botnet. Questi attacchi comportavano il download e l’esecuzione di uno script shell denominato “q” tramite FTP. Lo script installava un payload backdoor TLS cipher_log noto per l’architettura MIPS64.
Questa backdoor stabiliva canali di comunicazione criptati con server di comando e controllo (C2) e includeva meccanismi di persistenza e auto-occultamento. La botnet PolarEdge, così chiamata dai ricercatori per l’utilizzo dei certificati PolarSSL (ora Mbed TLS), ha infettato oltre 2.000 dispositivi in tutto il mondo.
Oltre ai router Cisco, il malware prende di mira anche i dispositivi Asus, QNAP e Synology, utilizzando tecniche simili.
RedazioneL’ecosistema del cybercrimine russo è entrato in una fase di profonda mutazione, innescata da una combinazione di fattori: una pressione internazionale senza precedenti da parte delle forze dell’...
I ricercatori della sicurezza hanno scoperto delle vulnerabilità in un sito web della FIA che conteneva informazioni personali sensibili e documenti relativi ai piloti, tra cui il campione del mondo ...
Il 21 ottobre 2025, un gruppo internazionale di ricercatori provenienti da 29 istituzioni di prestigio – tra cui Stanford University, MIT e Università della California, Berkeley – ha completato u...
Nella giornata di oggi, migliaia di utenti Fastweb in tutta Italia hanno segnalato problemi di connessione alla rete fissa, con interruzioni improvvise del servizio Internet e difficoltà a navigare o...
Mattinata difficile per i clienti Fastweb: dalle 9:30 circa, il numero di segnalazioni di malfunzionamento è schizzato alle stelle. Secondo i dati di Downdetector, le interruzioni hanno superato le 3...
