Check Point: reti e dispositivi IoT sempre più a rischio

Cresce a luglio il numero degli exploit che hanno come obiettivo tre delle più important vulnerbilità IoT secondo il Global Threat Index di Check Point Software Technologies, fornitore di soluzioni di cyber security a livello globale. Questi attacchi, legati alla diffusione dei malware IoT Mirai, IoTroop/Reaper e VPNFilter, sono più che raddoppiati da maggio 2018.

A luglio, queste tre vulnerabilità IoT sono state tra le 10 vulnerabilità più sfruttate: quinto posto per MVPower DVR router Remote Code Execution; settimo posto per D_Link DSL-2750B router Remote Command Execution e decimo posto per Dasan GPON router Authentication Bypass. Insieme sono state in grado di colpire il 45% delle organizzazioni di tutto il mondo, rispetto al 35% registrato a giugno 2018 e al 21% di maggio. Queste vulnerabilità consentono a tutti gli hacker di eseguire codici malevoli e ottenere il controllo remoto dei dispositivi colpiti.

 

Coinhive è rimasto il malware più diffuso, con un impatto globale del 19%. Cryptoloot e Dorkbot risultano essere al secondo e al terzo posto, ciascuno con un impatto globale del 7%.

Anche in Italia, Conhive si mantiene al primo posto per il settimo mese consecutivo con un impatto di oltre il 14% sulle imprese locali, seguito anche a luglio da Cryptoloot e Conficker. Rimane alta la presenza dei trojan bancari con Dorkbot che si mantiene al settimo posto.

 

I tre malware più diffusi a luglio 2018 sono stati:

*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente

  1. ↔ Coinhive – uno script di mining che utilizza la CPU degli utenti che visitano determinati siti web per minare la criptovaluta Monero. Il JavaScript installato utilizza una grande quantità di risorse computazionali delle macchine degli utenti finali per estrarre monete e potrebbe causare l’arresto anomalo del sistema.
  2. ↔ Cryptoloot – malware che utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il mining di criptovalute aggiungendo transazioni alla blockchain e rilasciando nuova valuta. Competitor di Coinhive, Cryptoloot cerca di accaparrarsi più vittime chiedendo ai siti una percentuale minore in termini di profitti.
  3. ↔ Dorkbot – IRC-worm progettato per consentire l’esecuzione di codice da remoto da parte del proprio operatore, nonché il download di ulteriori malware sul sistema infetto. Si tratta di un trojan bancario, con lo scopo principale di rubare informazioni sensibili e lanciare attacchi denial-of-service.

Lokibot, un trojan bancario che colpisce i sistemi Android e che ruba informazioni, è stato il malware per mobile più diffuso e utilizzato per attaccare i dispositivi delle organizzazioni, seguito da Lokibot e Guerrilla.

I tre malware per dispositivi mobili più diffusi a luglio 2018:

  1. Lokibot – trojan bancario che colpisce i sistemi Android e che ruba informazioni, può anche trasformarsi in un ransomware che blocca il telefono rimuovendo i privilegi dell’amministratore.
  2. Triada – malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati e gli permette di essere integrato all’interno di processi di sistema. Triada viene utilizzato anche per compiere attacchi di tipo spoofing.
  3. Guerilla – ad-clicker per Android che ha la capacità di comunicare con un server remoto di comando e controllo (C&C), scaricare plug-in aggiuntivi malevoli ed eseguire ad-clicking aggressivi senza l’autorizzazione o la consapevolezza da parte dell’utente.

I ricercatori di Check Point hanno analizzato anche le vulnerabilità più sfruttate dai criminali informatici. CVE-2017-7269 si è piazzata al primo posto con un impatto globale del 47%, mentre al secondo posto troviamo la vulnerabilità CVE-2017-5638 che ha interessato il 42% delle organizzazioni. Al terzo posto si posiziona, invece, OpenSSL TLS DTLS Heartbeat Information Disclosure con un impatto del 41%.

Le tre vulnerabilità più diffuse nel mese di luglio 2018 sono state:

  1. ↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – inviando una richiesta a una rete Microsoft Windows Server 2003 R2 tramite Microsoft Internet Information Services 6.0, un hacker potrebbe eseguire un codice arbitrario o causare una negazione delle condizioni del servizio sul server di destinazione. Ciò è dovuto principalmente a una vulnerabilità di overflow del buffer causata da una errata convalida di un header lungo nella richiesta HTTP.
  2. ↑ Apache Struts2 Content-Type Remote Code Execution (CVE-2017-5638) – si tratta di una vulnerabilità legata all’esecuzione di codice remoto in Apache Struts2 che utilizza il parser Jakarta Multipart. Un malintenzionato potrebbe sfruttare questa vulnerabilità inviando un tipo di contenuto non valido come parte di una richiesta di caricamento file. In caso di sfruttamento, si avrebbe l’esecuzione di codice arbitrario all’interno del sistema infetto.
  3. ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – si tratta di una vulnerabilità legata all’intercettazione di informazioni personali in OpenSSL. La vulnerabilità è dovuta a un errore durante la gestione dei pacchetti heartbeat TLS / DTLS. Un hacker può sfruttare questa vulnerabilità per divulgare il contenuto della memoria di un client o server connesso.