Redazione RHC : 26 Febbraio 2025 07:28
Una vulnerabilità critica legata all’esecuzione di codice remoto (RCE), CVE-2023-20118, che colpisce i router Cisco Small Business, è diventata una nuova arma per i criminali informatici che distribuiscono webshell e payload backdoor avanzati. La vulnerabilità, causata da una convalida errata degli input nell’interfaccia di gestione basata sul Web dei router, consente ad aggressori non autenticati di eseguire comandi arbitrari inviando richieste HTTP appositamente predisposte.
Questa falla è stata sfruttata attivamente dalla fine di gennaio 2025, come osservato dal team Threat Detection & Research (TDR) di Sekoia.io. Tra il 22 e il 31 gennaio 2025, alcuni aggressori hanno sfruttato questa vulnerabilità per distribuire una webshell sui router Cisco presi di mira.
L’attacco è iniziato con comandi di ricognizione per confermare la presenza della webshell. In caso di assenza, gli aggressori la distribuivano incorporando payload dannosi nelle richieste HTTP. La webshell è stata codificata in Base64 e compressa tramite gzip prima di essere inserita nello script di autenticazione del router per garantirne la persistenza.
Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Per l’esecuzione dei comandi, la webshell distribuita richiedeva una chiave di autenticazione nelle intestazioni HTTP. Questo meccanismo ha consentito agli aggressori di mantenere il controllo sui dispositivi compromessi, riducendo al contempo l’esposizione al rilevamento. Ma l’analisi suggerisce che la webshell serviva principalmente come meccanismo di distribuzione di malware di seconda fase, poiché durante le scansioni sono stati identificati solo quattro router infetti.
Gli aggressori hanno coordinato attacchi simultanei da più indirizzi IP, il che è indicativo di attività botnet. Questi attacchi comportavano il download e l’esecuzione di uno script shell denominato “q” tramite FTP. Lo script installava un payload backdoor TLS cipher_log
noto per l’architettura MIPS64.
Questa backdoor stabiliva canali di comunicazione criptati con server di comando e controllo (C2) e includeva meccanismi di persistenza e auto-occultamento. La botnet PolarEdge, così chiamata dai ricercatori per l’utilizzo dei certificati PolarSSL (ora Mbed TLS), ha infettato oltre 2.000 dispositivi in tutto il mondo.
Oltre ai router Cisco, il malware prende di mira anche i dispositivi Asus, QNAP e Synology, utilizzando tecniche simili.
Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...
Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...
Le backdoor come sappiamo sono ovunque e qualora presenti possono essere utilizzate sia da chi le ha richieste ma anche a vantaggio di chi le ha scoperte e questo potrebbe essere un caso emblematico s...
Il 25 febbraio 2025 WindTre ha rilevato un accesso non autorizzato ai sistemi informatici utilizzati dai propri rivenditori. L’intrusione, riconosciuta come un’azione malevola, è st...
Ancora non sono chiari i motivi che hanno causato un grave Blackout in Spagna e Portogallo nelle ultime ore. Vaste aree sono rimaste senza energia elettrica, scatenando un’ondata di speculazion...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006