Gli ultimi avvisi di sicurezza rilasciati da Cisco rivelano diverse vulnerabilità nei prodotti di rete come gli adattatori telefonici Cisco ATA 190 e il software di gestione Cisco UCS Central, utilizzati da numerose organizzazioni per gestire infrastrutture critiche. Queste vulnerabilità potrebbero consentire a un attaccante remoto non autenticato di accedere, modificare configurazioni e persino eseguire codice malevolo su dispositivi vulnerabili.

Cisco ATA 190: vulnerabilità multiple nel firmware

Sono state scoperte diverse vulnerabilità nel firmware degli adattatori analogici Cisco ATA 190, ognuna delle quali potrebbe essere sfruttata in modo indipendente. Le vulnerabilità principali includono:

1. CVE-2024-20458: Mancanza di autenticazione su specifici endpoint HTTP, che consente a un attaccante di accedere e modificare configurazioni del dispositivo.
2. CVE-2024-20421: Cross-site request forgery (CSRF), che potrebbe permettere a un attaccante remoto di eseguire azioni arbitrarie.
3. CVE-2024-20459: Comando iniezione nel firmware, che permette a un attaccante autenticato di eseguire comandi come root sull’OS del dispositivo.
4. CVE-2024-20460: Vulnerabilità di cross-site scripting riflesso (XSS), sfruttabile da un attaccante per eseguire codice arbitrario nel contesto del browser dell’utente.
5. CVE-2024-20463: Possibilità di attacchi denial of service (DoS) tramite modifiche al dispositivo che causano riavvii non autorizzati.

Cisco ha rilasciato aggiornamenti firmware per risolvere tutte queste vulnerabilità. Gli utenti sono incoraggiati a effettuare subito l’upgrade ai firmware più recenti per mitigare i rischi.

Cisco UCS Central: vulnerabilità di disclosure delle informazioni

Un’altra vulnerabilità significativa riguarda il software Cisco UCS Central, utilizzato per la gestione delle infrastrutture centralizzate. La falla di sicurezza consente la disclosure di informazioni sensibili, come backup di configurazioni critiche, esponendo dati riservati a un attaccante. Gli aggiornamenti per questa vulnerabilità sono stati rilasciati, e si consiglia di migrare a versioni aggiornate del software per evitare rischi.

Raccomandazioni e aggiornamenti di sicurezza

Cisco ha rilasciato aggiornamenti per risolvere tutte le vulnerabilità ATA e UCS identificate. Gli amministratori di sistema devono applicare gli aggiornamenti critici il prima possibile, verificando che i dispositivi e i sistemi siano compatibili con le nuove versioni firmware e software. Cisco raccomanda inoltre di monitorare costantemente le configurazioni di sicurezza e implementare soluzioni di autenticazione multi-fattore (MFA) per prevenire attacchi.

Recentemente, le agenzie di sicurezza statunitensi CISA, FBI, NSA e partner internazionali hanno rilasciato un importante avviso riguardo agli attacchi informatici condotti da attori statali iraniani. Questi cyber-attori, attivi dall’ottobre 2023, hanno preso di mira diverse organizzazioni appartenenti a settori critici, tra cui sanità, governi, IT ed energia. Gli attacchi sono stati condotti utilizzando tecniche di brute force e password spraying, puntando a compromettere credenziali di accesso di utenti chiave all’interno delle reti bersaglio.

Gli aggressori hanno dimostrato un alto livello di sofisticazione, impiegando vari metodi per ottenere accesso permanente alle infrastrutture critiche e utilizzando tali accessi per rivendere le credenziali ottenute ad altri gruppi criminali. Questa nuova ondata di attacchi rappresenta una minaccia seria alla sicurezza nazionale e internazionale, sollevando l’attenzione di governi e organizzazioni private a livello globale.

Tecniche di attacco: brute force e password spraying

Le modalità operative degli attacchi sono ben definite. I cyber-attori iraniani hanno utilizzato metodi come il brute force, un processo automatizzato che tenta numerose combinazioni di password fino a trovare quella corretta. In aggiunta, è stato ampiamente impiegato il password spraying, una tecnica in cui gli attaccanti provano password comuni su un numero elevato di account, sfruttando password deboli e facilmente prevedibili.

Uno degli aspetti più pericolosi di questi attacchi è l’utilizzo della MFA (Multi-Factor Authentication) push bombing. Questo metodo sfrutta le notifiche di autenticazione a due fattori inviando richieste continue al dispositivo della vittima fino a quando non accetta per errore una delle richieste, concedendo così l’accesso ai malintenzionati. Gli attaccanti sono poi riusciti a manipolare l’autenticazione multi-fattore, registrando i loro dispositivi per assicurarsi accessi futuri.

Compromissione e persistenza nelle reti

Una volta ottenuto l’accesso iniziale tramite brute force o password spraying, gli attori iraniani hanno eseguito attacchi di ricognizione nelle reti compromesse. Queste operazioni hanno consentito di ottenere ulteriori credenziali e scoprire punti deboli che potevano essere sfruttati per mantenere l’accesso a lungo termine. Gli attacchi non si limitano alla sola compromissione di accessi ma includono movimenti laterali all’interno della rete per ottenere un controllo più ampio e, in alcuni casi, ottenere informazioni riservate.

Gli attaccanti utilizzano frequentemente servizi VPN per camuffare le loro attività, rendendo più difficile il tracciamento delle azioni malevole e l’identificazione delle fonti degli attacchi. Questo modus operandi rende gli attacchi più insidiosi, complicando la risposta immediata da parte delle difese informatiche.

Misure di mitigazione consigliate

Le autorità hanno rilasciato una serie di raccomandazioni per aiutare le organizzazioni a migliorare la loro postura di sicurezza e proteggersi da questi attacchi. Le misure preventive includono l’utilizzo di password complesse e l’adozione dell’autenticazione multi-fattore resistente agli attacchi di phishing. Le organizzazioni sono incoraggiate a monitorare attentamente i log di autenticazione per rilevare accessi sospetti, in particolare quelli da località geografiche non coerenti con l’attività abituale dell’utente.

Inoltre, è importante implementare controlli di sicurezza avanzati che possano rilevare anomalie nei tentativi di login e proteggere l’accesso alle infrastrutture critiche. L’uso di soluzioni di cybersecurity proattive, combinate con una costante formazione del personale, può ridurre in modo significativo il rischio di compromissione.

Recenti sviluppi nell’ambito della sicurezza informatica hanno visto la divulgazione delle accuse contro due cittadini sudanesi, responsabili di attacchi Distributed-Denial-of-Service (DDoS) condotti dal gruppo cybercriminale noto come Anonymous Sudan. Questo gruppo è stato al centro di un’indagine internazionale coordinata da Europol e altre autorità, che ha smascherato le loro attività ideologicamente motivate.

Anonymous Sudan ha lanciato oltre 35.000 attacchi DDoS in un solo anno, colpendo governi e infrastrutture critiche di tutto il mondo, causando danni superiori ai 10 milioni di dollari. Tra gli obiettivi figurano il Dipartimento di Giustizia e il Dipartimento della Difesa degli Stati Uniti, nonché diverse piattaforme tecnologiche globali.

Operazione PowerOFF e il ruolo dell’Europa

Europol ha avuto un ruolo chiave nella cooperazione tra stati membri europei e gli USA, garantendo azioni rapide e condividendo informazioni cruciali. L’operazione PowerOFF, che ha coinvolto autorità di Francia, Lussemburgo e Svezia, ha portato al sequestro dei server e dei codici sorgente utilizzati per gli attacchi, indebolendo così la capacità operativa del gruppo.

La storia di Anonymous SUDAN

Anonymous Sudan ha condotto una serie di attacchi DDoS (Distributed Denial of Service) che hanno colpito diverse aziende di alto profilo a partire dal 2023, con azioni che proseguono fino ad oggi. Il gruppo si è fatto notare inizialmente con attacchi verso infrastrutture critiche francesi e successivamente verso servizi come Microsoft Outlook, OneDrive e Azure, confermati anche dalla stessa Microsoft. Questi attacchi hanno sfruttato vulnerabilità a livello di applicazione (Layer 7), causando gravi interruzioni ai servizi. Inoltre, Anonymous Sudan ha colpito piattaforme popolari come Telegram, rivendicando il sabotaggio con motivazioni politiche, tra cui il conflitto tra Israele e Palestina.

Un altro attacco di grande impatto ha riguardato ChatGPT, dove la botnet SkyNet del gruppo ha sovraccaricato i server di OpenAI, causando disservizi periodici. Sebbene OpenAI stia ancora investigando sulle cause specifiche, Anonymous Sudan ha rivendicato l’operazione. Oltre a colpire aziende tecnologiche occidentali, il gruppo ha anche attaccato Cloudflare, una delle principali piattaforme di sicurezza informatica, tentando di abbatterne le difese. Tuttavia, la resistenza di Cloudflare ha dimostrato l’efficacia delle sue misure anti-DDoS.

Le motivazioni di Anonymous Sudan sembrano essere principalmente geopolitiche, ma alcuni esperti suggeriscono che il gruppo potrebbe essere una “false flag”, potenzialmente collegato a interessi russi. Nonostante la sua origine dichiarata nel 2023, la crescente capacità del gruppo di lanciare attacchi complessi contro servizi critici solleva preoccupazioni sulle loro risorse e alleanze.