Una o due volte all’anno i ricercatori sulle minacce scoprono una vulnerabilità software importante e spesso esposta a Internet che consente ai criminali informatici di ottenere il controllo di un computer vulnerabile per poi utilizzarlo per stabilire un punto d’appoggio e provocare gravi danni nell’azienda presa di mira.
Forse ti ricordi di Dirty COW (CVE-2016-5195), runc (CVE-2019-5736), Sudo (CVE-2019-14287), ZeroLogon (CVE-2020-1472), PwnKit (CVE-2021-4034) o Dirty Pipe (CVE-2022-0847). Più di recente, regreSSHion (CVE-2024-6387) è entrata nell’elenco delle vulnerabilità con nomi “poetici” e conseguenze potenzialmente elevate. Questa vulnerabilità è stata identificata e divulgata dall’unità di ricerca sulle minacce di Qualys.
RegreSSHion: una nuova vulnerabilità software di OpenSSH
RegreSSHion è una vulnerabilità del servizio di sicurezza OpenSSH, uno strumento open source che consente di proteggere l’amministrazione del sistema, i trasferimenti di file e altre comunicazioni su Internet o reti non approvate. Questo strumento è utilizzato in molti sistemi operativi Unix, come Mac e Linux.
Nell’articolo del blog in cui ha divulgato tale vulnerabilità, Qualys afferma che, in caso di sfruttamento, regreSSHion potrebbe portare a un takeover totale di un sistema. Se necessario, i criminali informatici potrebbero utilizzare il sistema compromesso per sfruttare altri sistemi vulnerabili all’interno di un’azienda, eludendo meccanismi di sicurezza critici.
L’estensione di queste ripercussioni, combinata con l'ampia disponibilità di OpenSSH rappresenta una sfida a livello mondiale. Qualys stima che ci siano più di 14 milioni di istanze server OpenSSH potenzialmente vulnerabili su Internet. Inoltre, circa 700.000 istanze esterne esposte a Internet sarebbero vulnerabili.
Una cifra enorme. È quindi giunto il momento di correggere questa vulnerabilità per poter affrontare il prossimo problema di sicurezza. Ma non è così semplice.
La correzione delle vulnerabilità richiede tempo - tempo che i criminali informatici sfruttano per eludere i controlli di sicurezza
Anche per i migliori team IT, la correzione delle vulnerabilità è un compito noioso che può proseguire per mesi o anni. Questa esposizione prolungata rappresenta un serio problema. Proprio come fanno i ricercatori della sicurezza, i criminali informatici possono analizzare il web alla ricerca di sistemi vulnerabili.
Le aziende come possono proteggersi nella fase precedente la correzione delle vulnerabilità? Dovrebbero utilizzare il monitoraggio dei log, firewall o sistemi di sicurezza EDR o XDR con agent per rilevare e bloccare le intrusioni?
Queste misure di sicurezza non sono sufficienti. Non dimentichiamo che regreSSHion offre ai criminali informatici privilegi di sistema root sull'host infetto. Ciò significa che potrebbero disattivare o eludere i controlli di sicurezza eseguiti sull’host o tramite quest’ultimo. Si tratta di una debolezza di fondo dei controlli di sicurezza locali. Sono sia visibili che suscettibili alla manipolazione da parte di criminali informatici che hanno ottenuto privilegi di amministrazione di sistema.
I sistemi di sicurezza ITDR, inclusi i rilevamenti basati su esche, forniscono una difesa in profondità
La tua azienda cosa può fare durante la finestra di vulnerabilità tra l’annuncio pubblico di una CVE, come regreSSHion, e il momento in cui i tuoi team IT individuano e correggono i sistemi vulnerabili? Dopo tutto, è durante questo periodo critico che i criminali informatici vengono a conoscenza della vulnerabilità e possono sfruttarla. È qui che possono entrare in gioco le soluzioni ITDR in generale e controlli di sicurezza basati su esche in particolare - e possono dimostrarsi davvero efficaci.
I sistemi di rilevamento basati su firme o comportamenti hanno bisogno di dati di telemetria per rilevare la presenza di un criminale informatico. E devono essere attivi per raccogliere i dati e eseguire le analisi. Tuttavia, come sottolineato in precedenza, una volta ottenuti i privilegi di amministrazione del sistema root, i criminali informatici possono, in molti casi, disabilitare o eludere questi sistemi.
Le esche operano in modo diverso. Strumenti come Proofpoint Shadow possono implementare risorse in apparenza autentiche (file, account e servizi) in tutta l'azienda. Queste risorse operano come esche concepite per essere utilizzate dai criminali informatici per spostarsi lateralmente e elevare i loro privilegi, innescando un allarme di rilevamento silenzioso e inviando dati forensi al team di risposta agli incidenti.
Con le esche, i criminali informatici non hanno nulla da trovare e disattivare. Non ci sono agent che operano in locale. Inoltre, non è necessario raccogliere e analizzare file di log per rilevare la presenza di un criminale informatico. Un criminale informatico non è in grado di distinguere le risorse locali vere da quelle false su un determinato host senza prima provare a utilizzarle. E l’utilizzo di tali risorse per tentare di spostarsi lateralmente porta naturalmente a rivelare la loro presenza.
Nel caso di regreSSHion, o qualunque altra vulnerabilità passata, presente o futura, il rilevamento delle minacce basato su esche può rappresentare una strategia di difesa in profondità estremamente efficace. Combinata con l’identificazione e la correzione delle vulnerabilità legate alle identità prima dell'arrivo di un criminale informatico, permette di impedire che le vulnerabilità software portino a importanti violazioni.
Per saperne di più su Proofpoint Identity Threat Defense
Proofpoint Shadow, un componente di Proofpoint Identity Threat Defense, crea una rete complessa di dati fasulli e falsi percorsi nella tua azienda. Anche i criminali informatici più esperti non sanno distinguere ciò che è vero da ciò che è falso. Ciò rende praticamente impossibile per loro spostarsi verso le tue risorse informatiche strategiche senza essere rilevati. Scarica la panoramica sulla soluzione per saperne di più.
Per maggiori informazioni su come la soluzione ITDR di Proofpoint, Identity Threat Defense, può rafforzare le tue difese contro i criminali informatici che sono riusciti a infiltrarsi nella tua azienda, consulta la pagina della soluzione Proofpoint Identity Threat Defense.