Sommario
La Cybersecurity and Infrastructure Security Agency (CISA) ha condotto un’esercitazione di red team in un’agenzia federale statunitense nel 2023, rivelando numerose falle di sicurezza che hanno esposto i suoi asset più critici. Queste valutazioni, denominate SILENTSHIELD, sono eseguite senza preavviso per simulare le manovre di un gruppo di minacce statali ostili a lungo termine.
Scoperta delle Vulnerabilità
Durante l’esercitazione, il red team ha ottenuto l’accesso iniziale sfruttando una vulnerabilità non corretta (CVE-2022-21587) nell’enclave Oracle Solaris dell’agenzia, portando a una compromissione totale. Questa vulnerabilità, una falla di esecuzione di codice remoto (RCE) con un punteggio CVSS di 9.8, era stata aggiunta al catalogo delle vulnerabilità conosciute sfruttate (KEV) della CISA nel febbraio 2023.
Il team ha informato gli agenti di fiducia dell’organizzazione del dispositivo non patchato, ma l’agenzia ha impiegato oltre due settimane per applicare la patch disponibile. Inoltre, non è stata eseguita un’indagine approfondita sui server interessati, il che avrebbe rivelato indicatori di compromissione (IoC) e avrebbe dovuto portare a una risposta completa all’incidente.
Circa due settimane dopo l’accesso del team, il codice exploit è stato rilasciato pubblicamente in un popolare framework di sfruttamento open source. CISA ha identificato che la vulnerabilità è stata sfruttata da una terza parte sconosciuta.
Attacco al Network Windows
Dopo aver ottenuto l’accesso all’enclave Solaris, il red team ha scoperto che non poteva passare alla rete Windows a causa della mancanza di credenziali, nonostante avesse avuto accesso a web app e database sensibili per mesi. Tuttavia, CISA è riuscita a penetrare nella rete Windows attraverso attacchi di phishing su membri dell’agenzia target, uno dei quali ha avuto successo.
Il team ha iniettato un RAT persistente e ha scoperto credenziali amministrative non sicure, che hanno permesso un completo dominio della rete. Nessuno dei server accessibili aveva protezioni aggiuntive o restrizioni di accesso alla rete, nonostante la loro sensibilità e funzioni critiche.
Esplorazione di Trust Relativi a Organizzazioni Esterne
Il team ha scoperto che l’agenzia federale vittima aveva relazioni di fiducia con più organizzazioni FCEB esterne, che il team CISA ha sfruttato utilizzando l’accesso già ottenuto. Hanno effettuato un attacco di kerberoasting su una delle organizzazioni partner, ottenendo un account privilegiato che è stato successivamente sfruttato per attaccare una seconda organizzazione partner.
Raccomandazioni e Conclusioni
L’esercitazione ha dimostrato la necessità per le agenzie FCEB di applicare principi di difesa in profondità, con più livelli di misure di rilevamento e analisi per massimizzare l’efficacia. È stata raccomandata la segmentazione della rete e sottolineata l’importanza di non affidarsi eccessivamente agli IoC conosciuti.
CISA ha anche sottolineato la necessità di software sicuro per progettazione, eliminazione delle password predefinite e migliore utilizzo dei log attraverso la collaborazione con fornitori di SIEM e SOAR.
