Scopri i nostri percorsi di Hacking e approfitta dell'imperdibile promozione! Scopri di più
La National Security Agency (NSA) degli Stati Uniti d’America ha recentemente (inizio mese) diramato un allarme di sicurezza relativo allo sfruttamento attivo di vulnerabilità da parte di attori di minaccia supportati dal governo cinese e da questo indirizzati a perseguire interessi nazionali.
In particolare l’allarme indica come vittime di questo nuovo interesse cinese sia l’insieme di industrie e organizzazioni varie negli Statu Uniti d’America, con l’intenzione comune di sottrarre proprietà intellettuali e ottenere accessi a reti sensibili.
L’allarme è corroborato da un rapporto che tiene conto delle valutazioni sulle debolezze sfruttate dagli agenti di minaccia così come eseguite dalla NSA stessa, dal Cybesercurity and Infrastructure Security Agency (CISA) e dal Federal Bureau of Investigation (FBI).
Nel rapporto vengono evidenziate le principali vulnerabilità sfruttate fin dal 2020 da attori di minaccia supportati dalla Repubblica Popolare Cinese, sottolineando come lo sfruttamento continua indisturbato su vulnerabilità ormai note.
Si tratta di una minaccia significativa, persistente ed estremamente dinamica, che adegua cioè le proprie tecniche di attacco molto facilmente: rappresenta dunque un rischio considerevole per l’insieme delle organizzazioni coinvolte.
La cosa più grave è la constatazione che questi agenti di minaccia continuino ad agire indisturbati mediante strumenti disponibili pubblicamente e attraverso 20 vulnerabilità già note da tempo; vediamo di quali si tratta prendendo rapidamente spunto dall’elenco pubblicato da NSA: la CVE-2021-44228 (Apache Log4j), CVE-2019-11510, CVE-2021-22205, CVE-2022-26134, CVE-2021-26855 (Microsoft Exchange), CVE-2020-5902 (F5 Big-IP), CVE-2021-22005 (VMware vCenter Server), CVE-2019-19781 (Citrix ADC), CVE-2021-1497 (Cisco Hyperflex), CVE-2021-20090, CVE-2021-26084, CVE-2021-36260 (Hikvision Webserver, che ben conoscono), CVE-2021-42237, CVE-2022-1388 (F5 Big-IP), CVE-2022-24112 e CVE-2021-41773 (Apache), CVE-2021-40539, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065.
Molte delle precedenti vulnerabilità sono estremamente potenti (di natura RCE) e alcune affliggono i dispositivi di rete più che i sistemi, entrando in profondità nella debolezza infrastrutturale e consentendo così la persistenza dell’accesso Internet-face nel momento che queste debolezze affliggano i dispositivi perimetrali. Ciò consente agli attori di minaccia di abbandonare i meccanismi di attacco che li hanno portati al primo accesso, all’ingresso nel perimetro, ottenendo non solo il controllo, ma anche una forma di occultamento maggiore evitando di sfruttare più volte lo stesso attacco sulla medesima vittima.
NSA raccomanda le solite procedure di rimedio e mitigazione, ma è evidente che molto spesso la mandria è già uscita dal recinto e che è troppo tardi per chiudere la porta.
