L’orizzonte nel campo della sicurezza informatica sta evolvendo rapidamente e, con esso, gli attori malevoli sono più che mai agguerriti alla ricerca di nuove vulnerabilità da sfruttare per i loro scopi disonesti. Recentemente, con la divulgazione dell’exploit pubblico per la CVE di PAN-OS di Palo Alto, Akamai ha osservato un aumento dell’attività da parte di attori malevoli specializzati nel cryptomining, che hanno rapidamente incorporato questa vulnerabilità nel loro arsenale.
La vulnerabilità Zero-Day di PAN-OS
L’11 aprile scorso, Palo Alto ha pubblicato un avviso relativo a una vulnerabilità zero-day nei suoi prodotti basati su PAN-OS, identificata dalla società di sicurezza Volexity. Questa vulnerabilità consente a un utente malintenzionato di creare un file arbitrario, il che può eventualmente consentire l’esecuzione di comandi con privilegi di utente root. La tecnica sfruttata prevede l’impostazione di un particolare valore nel cookie SESSID, che manipola PAN-OS per creare un file con il nome di questo valore. Combinando il cookie con una tecnica di path traversal, l’aggressore riesce a controllare sia il nome del file che la directory in cui il file è memorizzato.
L’attività delle minacce dopo la divulgazione della CVE
Quando vengono annunciati CVE critici come questo, è comune osservare un notevole aumento di attività che non sono necessariamente dannose. Spesso sono i ricercatori e i difensori a muoversi all’interno dell’exploit proof of concept pubblico, causando un picco significativo di attività. Tuttavia, secondo Akamai se prima la maggior parte dei tentativi di sfruttare questa CVE tra i clienti era semplicemente legato a sonde di vulnerabilità che cercavano di scrivere un file fittizio, recentemente si è assistito a un cambiamento preoccupante.
Akamai ha osservato infatti un aumento dei tentativi di eseguire comandi che scaricano ed avviano uno script bash da vari indirizzi IP situati in diverse aree geografiche e ospitati da diverse aziende. Questo comportamento indica un chiaro intento malevolo di utilizzare la vulnerabilità per installare software di cryptomining su sistemi vulnerabili.
Gli attori malevoli stanno sfruttando la vulnerabilità di PAN-OS per ottenere accesso con privilegi elevati e quindi installare script di cryptomining. Questa tattica non solo sfrutta le risorse del sistema per generare criptovaluta, ma può anche degradare le prestazioni dei sistemi infettati, creando potenziali problemi operativi per le organizzazioni colpite.
Allerta!
È fondamentale che le aziende adottino misure proattive per proteggere i loro sistemi dalle vulnerabilità critiche come quella di PAN-OS, implementando patch di sicurezza tempestive e monitorando costantemente l’attività di rete per individuare comportamenti sospetti.
