Vulnerabilità in BeyondTrust e attacchi a Fortinet Firewalls

da Livio Varriale
0 commenti 3 minuti leggi
BeyondTrust

Le vulnerabilità in prodotti di sicurezza critici come BeyondTrust e Fortinet continuano a rappresentare una minaccia significativa, evidenziando l’importanza di misure preventive e aggiornamenti tempestivi. Recenti rapporti sottolineano attacchi sfruttando falle zero-day, compromettendo infrastrutture critiche e piattaforme di sicurezza.

Vulnerabilità BeyondTrust: attacchi mirati e requisiti di patching

La Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto la vulnerabilità CVE-2024-12686 al catalogo Known Exploited Vulnerabilities (KEV), obbligando le agenzie federali statunitensi a correggere i sistemi entro il 3 febbraio 2025. Questa vulnerabilità, con un punteggio CVSS di 6.6, consente a un attaccante con privilegi amministrativi di eseguire comandi arbitrari.

In precedenza, un’altra vulnerabilità critica, CVE-2024-12356 (CVSS 9.8), era stata sfruttata per compromettere l’accesso remoto su BeyondTrust. Gli attacchi hanno coinvolto l’uso di una chiave API compromessa, con ripercussioni sui sistemi del Dipartimento del Tesoro degli Stati Uniti. Questi attacchi sono stati attribuiti al gruppo cinese Silk Typhoon, specializzato in cyber-spionaggio e data theft.

BeyondTrust ha applicato patch per le istanze cloud, ma gli utenti di versioni self-hosted devono aggiornare manualmente. L’assenza di azioni potrebbe esporre i sistemi a ulteriori compromissioni.

Attacchi su Fortinet: sospetto zero-day in gestione firewall

logo fortinet
Vulnerabilità in BeyondTrust e attacchi a Fortinet Firewalls 7

Un’altra campagna mirata ha preso di mira dispositivi Fortinet FortiGate con interfacce di gestione esposte su internet. Gli attacchi, iniziati a novembre 2024, si sono basati su una vulnerabilità sconosciuta che ha consentito accessi amministrativi non autorizzati. I malintenzionati hanno creato nuovi account super admin e configurato portali SSL VPN per spostamenti laterali nei sistemi compromessi.

Le azioni degli attaccanti includono:

  • Modifiche alle configurazioni dei firewall per estrarre credenziali tramite il metodo DCSync.
  • Creazione di tunnel SSL VPN per spostarsi lateralmente nelle reti compromesse.
  • Uso di indirizzi IP sospetti associati a provider VPS.

La diversità dei settori coinvolti suggerisce un targeting opportunistico. Fortinet raccomanda di limitare l’esposizione delle interfacce di gestione firewall e di applicare configurazioni di accesso restrittive.

Impatti e raccomandazioni per la mitigazione

Attacchi BeyondTrust: conseguenze e risposte

Gli attacchi attribuiti a Silk Typhoon contro BeyondTrust e il Dipartimento del Tesoro degli Stati Uniti dimostrano l’efficacia degli exploit combinati con credenziali rubate. Gli attori hanno mirato a dati sensibili relativi a sanzioni economiche e investimenti stranieri, sfruttando falle zero-day nei prodotti BeyondTrust. Questo mette in evidenza il ruolo critico delle patch rapide e della gestione sicura delle chiavi API.

Azioni raccomandate per BeyondTrust:

  • Applicare immediatamente le patch per CVE-2024-12686 e CVE-2024-12356.
  • Limitare i privilegi degli account amministrativi e monitorare le attività anomale.
  • Implementare strumenti di rilevamento delle vulnerabilità per identificare compromissioni nei sistemi SaaS e self-hosted.

Attacchi Fortinet: proteggere le interfacce di gestione

Gli attacchi ai dispositivi Fortinet FortiGate sfruttano configurazioni esposte, evidenziando la necessità di una protezione robusta delle interfacce di gestione. La sospetta vulnerabilità zero-day ha permesso agli attori di comprometterne il controllo, creare nuovi account e condurre attività di spionaggio.

Azioni raccomandate per Fortinet:

Annunci
  • Disabilitare l’accesso pubblico alle interfacce di gestione firewall.
  • Applicare aggiornamenti firmware alle versioni più recenti.
  • Utilizzare meccanismi di autenticazione a due fattori (2FA) per l’accesso remoto.
  • Implementare sistemi di rilevamento delle intrusioni (IDS) per identificare tentativi di accesso non autorizzato.

Gli attacchi recenti a BeyondTrust e Fortinet mettono in evidenza l’importanza della proattività nella sicurezza informatica. La combinazione di zero-day e configurazioni esposte può portare a compromissioni critiche di dati sensibili e sistemi di infrastruttura. Organizzazioni e agenzie devono adottare misure immediate per mitigare i rischi, includendo patch tempestive, configurazioni sicure e monitoraggio continuo.

Si può anche come

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Developed with love by Giuseppe Ferrara