No, no parliamo delle innumerevoli crisi che affliggono il nostro continente, ma solo dell’insorgere di una nuova variante del famigerato malware denominato “Kaiji”, una variante modulare battezzata “Chaos” (che però non ha alcun riferimento o connessione con ransomware che ha il medesimo nome), una versione che potremmo a tutti gli effetti considerare un aggiornamento del precedente. 

L’obiettivo di questa nuova variante è per ora l’Europa. 

Come descritto da vari ricercatori, questa variante prende di mira non solo obiettivi nel territorio Europeo, ma estende il suo interesse sia a vittime operanti con sistema Windows che Linux, che siano in ambiente industriale oppure no (utenza casalinga). 

Chaos è capace di comunicare con una C2 (da cui ottiene comandi ma anche nuovi moduli) per l’esecuzione di tutta una serie di attività, ivi compreso il lancio di campagne DDoS (Distribuited Denial of Service) e mining di cryptovalute. 

La sua sfida consiste nello sfruttamento di differenti vulnerabilità con cui infettare le machine e connetterle alla sua botnet, ma la sua pericolosità deriva dalla constatazione della dimensione del suo bacino di vittime potenziali (visto l’insistere su sistemi operativi differenti e differenti dimensioni e ambiti dei sistemi coinvolti). 

Per la sua propagazione utilizza spesso connessioni SSH, ma anche semplici vulnerabilità note come la CVE-2017-17215, una command execution vulnerability che affligge i router Huawei HG532, oppure la CVE-2022-30525 (che dispone di patch), una command injection vulnerability che affligge i firewall Zyxel, oppure anche la CVE-2022-1388 (che dispone di patch), una authtentication bypass vulnerability degli F5 BIG-IP. 

La CVE-2017-17215 ha un punteggio CVSS 8.8 e deriva dalla più canonica delle forme di debolezza software, il CWE-20 (Improper Input Validation), che consente (appunto per un mancato controllo sull’input) di violare l’autenticazione del sistema quanto un attaccante invii pacchetti costruiti ad hoc alla porta 37215. 

La CVE-2022-30525, ancora più grave, con un punteggio CVSS 9.8, è ancora sotto procedura di analisi (a causa di nuove evidenze) da parte del NIST, che promette presto maggiori dettagli sulla vulnerabilità. 

La CVE-2022-1388 fa il paio con la precedente per gravità (anche questa con punteggio CVSS 9.8) e deriva da un altro problema di sviluppo software, il CWE-306, a causa della mancanza di autenticazione in alcune operazioni offerte dalla REST API dei dispositivi affetti. A proposito: l’elenco dei dispositivi coinvolti in questo caso non è esaustivo in quanto l’analisi ha scartato tutti quelli che abbiano già raggiunto il termine del ciclo di supporto da parte del vendor. Questo implica che il numero dei dispositivi coinvolti possa essere maggiore di quanto ipotizzabile. 

I maggiori vendor di sicurezza hanno già approntato firme AV e IDS per il tracciamento della presenza di questo malware nel perimetro (o lo faranno a breve), ma è evidente che la maggiore difesa è la correzione dei sistemi e software coinvolti (quando esista una possibile correzione).

Tweet