skip to Main Content

Cybercrime, Fortinet VPN: migliaia di client vulnerabili grazie alla CVE-2018-13379

di Pierguido Iezzi

L’emergenza Covid-19 e lo smart working hand fatto impennare l’uso delle VPN. Ma se ne sono accorti anche i membri del cybercrime. Inoltre, è stato postato un exploit in grado di sottrarre le credenziali di almeno 50mila VPN Fortinet

L’era dello Smart working  a causa dell’emergenza Covid-19 ha avuto tra i suoi i protagonisti le tecnologie abilitanti per il lavoro da remoto. Poche hanno visto un’impennata nel loro utilizzo come le VPN. Ma questa espansione è stata seguita da un rinnovato interesse da parte del cybercrime nel cercare di acquisire le credenziali di accesso a questi servizi per poi utilizzarli come porta d’accesso per i loro attacchi. Non dovrebbe stupire quindi la notizia che qualche giorno fa uno di questi aggressori abbia postato online un exploit in grado di colpire un gran numero di questi dispositivi. In maniera ancor più preoccupante, collegato a ciò, è stata stilata una lista di target vulnerabili alla CVE oggetto dell’exploit che permetterebbe a un Criminal Hacker di sottrarre le credenziali di almeno 50mila VPN Fortinet.

Che cos’è la CVE-2018-13379 e perché è pericolosa per la cybersecurity

Nell’elenco di target vulnerabili sono presenti anche domini collegati a istituzioni finanziarie e governi di tutto il mondo. Questa vulnerabilità – CVE-2018-13379 – è una path traversal. Il che consiste nello sfruttare un’insufficiente validazione di sicurezza o una scarsa sanificazione dell’input di nomi di file forniti dall’utente per poter accedere a cartelle ad accesso ristretto (accessibili solo con determinati privilegi) ed eseguire comandi all’esterno della web directory o della working directory (CWD). Semplicemente sfruttandola, gli aggressori del cybercrime possono accedere ai file di sistema tramite richieste HTTP appositamente elaborate.

L’exploit dei criminal hacker

L’exploit in questione, postato online dal Criminal Hacker, potrebbe permettere agli aggressori di accedere ai file sslvpn_websession dalle VPN di Fortinet per rubare le credenziali di accesso. Queste credenziali rubate potrebbero poi essere utilizzate per compromettere una rete e – in particolare – fornire l’accesso per un attacco ransomware. Sebbene il bug, risalente al 2018, sia stato reso pubblico più di un anno fa, i ricercatori hanno individuato circa 50mila obiettivi che possono ancora essere presi di mira dagli aggressori. Secondo un’analisi portata a termine dagli esperti di cybersecurity d Bank_Security, infatti, questo fatto non è passato inosservato tra gli ambienti del cybercrime. Poco dopo la pubblicazione dell’exploit all’interno del Dark Web è apparso l’elenco completo di tutti i dispositivi VPN sfruttabili (49.577). Questo, peraltro, Come accennato, dopo aver analizzato l’elenco, è stato scoperto che tra i bersagli vulnerabili vi erano i domini governativi di tutto il mondo oltre a quelli appartenenti a banche e società finanziarie ben note.

Quali sono le organizzazioni coinvolte e gli impatti

Bank_Security stessa ha confermato che, dopo aver visto il post del forum sul Dark Web, ha iniziato ad analizzare l’elenco degli IP per identificare quali potessero essere stati gli impatti sulle organizzazioni coinvolte. Attraverso un comando di nslookup su tutti gli IP della lista è stato possibile rintracciare un gran numero di domini. I ricercatori di cybersecurtity hanno poi affinato i risultati ottenuti per identificare i nomi di dominio associati alle organizzazioni di interesse e alle banche più importanti. Il fatto che questa CVE sia stata patchata oltre 12 mesi fa e nonostante questo ancora moltissime organizzazioni siano vulnerabili è l’ennesima riprova di come il gap tra best practice di security (come l’aggiornamento dei software) e l’AS – IS non sia ancora del tutto colmato, anche nelle organizzazioni più grandi. Questa è una vecchia vulnerabilità, ben nota e facilmente sfruttabile. Gli aggressori la utilizzano già da molto tempo. Basti pensare che la stessa CVE era stata sfruttata qualche settimana fa per penetrare nei sistemi di supporto alle elezioni presidenziali Usa.

Come difendersi 

La CVE in questione è stata pubblicata e “chiusa” da tempo. La soluzione più semplice per non finire nel mirino dei Criminal Hacker è semplicemente quella di patchare i propri client VPN Fortinet. Resta comunque in sospeso la questione degli oltre 50mila client vulnerabili. Non tanto per il fatto che sono risultati “scoperti”, quanto per il fatto che senza la scoperta “quasi” casuale da parte di Bank_Security il problema non sarebbe stato affrontato. Questo fatto testimonia come si diventato imprescindibile per le organizzazioni dotarsi di soluzioni di Threat Intelligence come parte del proprio perimetro di sicurezza. Per raccogliere quelle informazioni OSINT e CLOSINT che riguardano direttamente l’organizzazione e che possono essere trasformate in actionable intelligence. Certo, idealmente non dovrebbero esserci lacune presenti nel proprio perimetro come quelle derivanti da un software non aggiornato, ma è anche facile riconoscere come il proliferare di servizi e soluzioni software all’interno delle aziende – anche non necessariamente di grandi dimensioni – a volte possa lasciare spazio a disattenzioni come questa. L’attività di raccolta delle informazioni sulle minacce cyber a cui può essere esposta un’azienda compiuta dalla Cyber Threat Intelligence rappresenta quindi per i security team aziendali, un valido supporto per la gestione delle vulnerabilità, per l’analisi dei rischi e per la pronta risposta agli incidenti. 

Non abbassiamo la guardia!

Back To Top