1 Descrizione
Ricercatori di sicurezza hanno recentemente rilevato la distribuzione di un nuovo malware, denominato Chaos, volto a compromettere i server Windows e Linux al fine di inserirli in una botnet per post-exploitation.
Nel dettaglio, il codice malevolo sarebbe in grado di propagarsi - all’interno delle reti target - tramite lo sfruttamento di CVE (CVE-2017-17215, CVE-2022-30525) e di usare chiavi SSH precedentemente sottratte o ottenute a seguito di attacchi di tipo brute-force.
CVE-2017-17215 | Firewall Huawei
CVE-2022-30525 | Prodotti Zyxel
2 Impatti
In base alle analisi svolte, il malware, di tipo modulare e scritto in Go, sarebbe in grado di
- Comunicare con il server di comando and controllo
- Enumerare l'ambiente host
- Eseguire comandi shell remoti
- Caricare moduli aggiuntivi
- Effettuare movimenti laterali all'interno della rete
- Condurre attacchi Deniel of Service (DDos)
- Minare criptovalute
3 Mitigazione
Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi attivando le seguenti misure aggiuntive
- Mantenere i sistemi e i dispositivi aggiornati
- Non esporre i dispositivi e le relative interfacce di controllo direttamente sulla rete internet;
- Permettere il raggiungimento della risorsa, all’interno di una rete, unicamente agli amministratori di sistema o comunque al personale autorizzato (ad esempio mediante segmentazione)
- Utilizzare opportuni sistemi di accesso remoto sicuri - come servizi VPN - per esporre servizi non strettamente essenziali sulla rete.
- Utilizzare le best practice per la gestione degli accessi (IAM), implementando meccanismi di autenticazione a più fattori (MFA), prevedendo l’adozione di password complesse e adottando il principio del privilegio minimo (least privilege)