SSH sotto attacco a causa di bug e vulnerabilità

Recentemente, sono emerse due importanti minacce nel campo della sicurezza informatica: il gruppo di hacker CRYSTALRAY ha ampliato il proprio arsenale di attacchi, compromettendo oltre 1.500 sistemi utilizzando lo strumento SSH-Snake, mentre è stata scoperta una vulnerabilità critica nel demone OpenSSH utilizzato in RHEL 9 e nelle sue varianti. Questi sviluppi sottolineano l’urgenza di mantenere aggiornati i sistemi e implementare misure di sicurezza robuste per proteggere le infrastrutture informatiche da attacchi sofisticati.

CRYSTALRAY Hacker: Espansione a 1.500 Sistemi Compromessi con lo Strumento SSH-Snake

Il gruppo di hacker noto come CRYSTALRAY ha ampliato significativamente la sua portata, colpendo oltre 1.500 vittime utilizzando nuove tattiche e exploit. Questo gruppo è stato monitorato dai ricercatori di Sysdig da febbraio, quando è stato riportato per la prima volta l’uso del worm open-source SSH-Snake per diffondersi lateralmente nelle reti compromesse.

Panoramica degli attacchi di CRYSTALRAY

Strumento UtilizzatoDescrizione
SSH-SnakeWorm open-source che ruba chiavi SSH e si diffonde lateralmente
PlatypusGestore web-based per gestire sessioni reverse shell multiple
Sliver ToolkitToolkit di post-sfruttamento utilizzato per lanciare exploit

Tecniche e obiettivi

SSH sotto attacco a causa di bug e vulnerabilità 4

CRYSTALRAY utilizza exploit proof-of-concept modificati per attaccare le vulnerabilità identificate. I principali obiettivi includono:

VulnerabilitàDescrizione
CVE-2022-44877Esecuzione di comandi arbitrari in Control Web Panel (CWP)
CVE-2021-3129Esecuzione di codice arbitrario in Ignition (Laravel)
CVE-2019-18394Server-side request forgery (SSRF) in Ignite Realtime Openfire

Sysdig ha osservato che CRYSTALRAY sfrutta anche prodotti Atlassian Confluence, basandosi sui pattern di exploit osservati contro 1.800 IP, un terzo dei quali negli Stati Uniti.

Propagazione e Persistenza

SSH sotto attacco a causa di bug e vulnerabilità 5

SSH-Snake rimane lo strumento principale utilizzato per propagarsi attraverso le reti compromesse. Questo worm ruba le chiavi SSH e le utilizza per accedere a nuovi sistemi, copiandosi e ripetendo il processo sui nuovi host. Inoltre, invia le chiavi catturate e le cronologie bash al server di comando e controllo (C2) di CRYSTALRAY, fornendo opzioni per attacchi più versatili.

Monetizzazione dei Dati Rubati

SSH sotto attacco a causa di bug e vulnerabilità 6

Gli obiettivi di CRYSTALRAY includono la raccolta e la vendita di credenziali, il deploy di cryptominer e il mantenimento della persistenza negli ambienti delle vittime.

Metodo di MonetizzazioneDescrizione
Vendita di credenzialiCredenziali rubate per servizi cloud, email e altri strumenti SaaS venduti sul dark web o Telegram
Deploy di cryptominerCryptominer installati sui sistemi compromessi per generare entrate

Sysdig ha tracciato alcuni lavoratori del mining associati a CRYSTALRAY, scoprendo che guadagnavano circa $200 al mese. Tuttavia, da aprile, CRYSTALRAY ha cambiato configurazione, rendendo impossibile determinare il loro attuale guadagno.

Mitigazione e Prevenzione

La strategia migliore per mitigare la minaccia di CRYSTALRAY è minimizzare la superficie d’attacco attraverso aggiornamenti di sicurezza tempestivi per correggere le vulnerabilità man mano che vengono divulgate.

Bug di OpenSSH in RHEL 9 e le sue Varianti

Alexander Peslyak, fondatore di Openwall e noto nella comunità della sicurezza come Solar Designer, ha scoperto una nuova condizione di race nel gestore di segnali nel demone sshd utilizzato in RHEL 9.x e nelle sue varianti.

Dettagli del BugCVE-2024-6409
ScopritoreAlexander Peslyak (Solar Designer)
Versioni Affectedsshd versioni 8.7p1 e 8.8p1 in Fedora 36, 37 e RHEL 9

Impatti e mitigazione

Il bug CVE-2024-6409 consente potenzialmente l’esecuzione di codice remoto, sebbene il processo affetto operi con privilegi ridotti. Questo riduce l’impatto potenziale dell’attacco.

MitigazioneDettagli
AlmaLinuxHa già rilasciato una patch per correggere il bug
UbuntuConferma che nessuna versione supportata è affetta

Le vulnerabilità in OpenSSH e le nuove tattiche di CRYSTALRAY evidenziano l’importanza di mantenere sistemi aggiornati e monitorati. Le organizzazioni devono adottare pratiche di sicurezza robuste per proteggere le loro infrastrutture da queste minacce emergenti.

La crescente minaccia rappresentata dal gruppo di hacker CRYSTALRAY, che ha compromesso oltre 1.500 sistemi utilizzando lo strumento SSH-Snake, insieme alla recente scoperta di una vulnerabilità critica nel demone OpenSSH utilizzato in RHEL 9, sottolinea l’importanza di aggiornamenti di sicurezza tempestivi e pratiche di sicurezza robuste. Le organizzazioni devono rimanere vigili e adottare misure proattive per proteggere le loro infrastrutture informatiche da attacchi sofisticati e vulnerabilità emergenti.

Articoli correlati

Botnet IoT e attacchi DDoS: come proteggersi da minacce globali

Ex-analista CIA si dichiara colpevole di aver condiviso documenti top secret

Tentativi di frode a nome CERT-UA tramite AnyDesk