Un’agenzia USA hackerata per una patch non risolta. CISA: fate i Vulnerability Assessment!

Gli esperti della Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti hanno segnalato un grave incidente: degli hacker sono riusciti ad accedere alla rete di un’agenzia federale civile sfruttando una vulnerabilità critica nel software del server GeoServer. Il problema ha interessato una versione non patchata della piattaforma, consentendo agli aggressori di eseguire codice da remoto e successivamente infiltrarsi nel sistema.

La vulnerabilità critica, denominata CVE-2024-36401, è stata ufficialmente risolta il 18 giugno 2024, ma molti server erano ancora privi di patch. Circa un mese dopo, la CISA l’ha aggiunta al suo registro pubblico delle vulnerabilità attivamente sfruttate. Il motivo è stato il rilascio pubblico di exploit dimostrativi pubblicati da diversi ricercatori, che dimostravano come la vulnerabilità consenta l’esecuzione di codice arbitrario su macchine non protette.

Come dettagliato nella pubblicazione CISA, già il 9 luglio 2024 il servizio Shadowserver ha rilevato un’ondata di attacchi correlati a questa vulnerabilità. Secondo la piattaforma OSINT di ZoomEye, sulla rete erano presenti oltre 16.000 server GeoServer accessibili dall’esterno.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

È stato attraverso uno di questi server che gli aggressori sono penetrati nel sistema IT di un’agenzia statunitense non identificata. Appena due giorni dopo l’inizio degli attacchi, il primo server è stato hackerato, seguito da un secondo un paio di settimane dopo.

Il passo successivo è stato hackerare il server web interno e il database SQL. Il rapporto del CISA afferma che gli hacker hanno caricato web shell, tra cui China Chopper, e script specializzati sui computer per il controllo remoto, il furto di dati, l’escalation dei privilegi e l’esecuzione di comandi.

Dopo aver penetrato l’infrastruttura, gli aggressori sono passati a una fase di raccolta dati attiva, utilizzando, come osserva CISA, il cracking brute-force delle password (Tattica T1110) e dirottando gli account di servizio attraverso componenti vulnerabili. Per tutto questo periodo, circa tre settimane, l’attività dannosa è rimasta inosservata.

L’allerta è arrivata solo il 31 luglio 2024, quando lo strumento di rilevamento degli endpoint (EDR) integrato ha identificato un file sospetto sul server SQL e ha inviato un segnale al Security Operations Center (SOC). Da quel momento in poi, l’agenzia, con l’assistenza del CISA, ha avviato un’indagine interna e ha messo in quarantena i sistemi interessati.

Pochi giorni dopo l’incidente iniziale, la CISA ha emesso un avviso separato per le infrastrutture critiche degli Stati Uniti, sottolineando l’importanza di una scansione proattiva delle vulnerabilità.

Sebbene non siano stati rilevati segnali di violazione, l’audit ha evidenziato un’ampia gamma di rischi: archiviazione non sicura delle password, credenziali duplicate per gli amministratori locali, accesso remoto aperto, segmentazione di rete configurata in modo errato e registrazione degli eventi inadeguata.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.