I ricercatori di Juniper Threat Labs hanno identificato Androxgh0st, malware che prende di mira le applicazioni Laravel, framework le cui vulnerabilità in passato hanno turbato il sonno di aziende del calibro di BMW.
Laravel è un framework molto diffuso nello sviluppo di applicazioni web, usato dalle piattaforme ecommerce, dai CMS e anche dai social network.
Il fatto stesso che sia molto diffuso lo rende particolarmente appetibile al cyber crimine il quale, sfruttandone le falle, possono colpire più fronti in contemporanea.
Il Ceo di Cybhorus e membro dell’ENISA Pierluigi Paganini evidenzia anche le derive di Androxgh0st, che può essere usato a scopi di estorsione e di spionaggio.
Indice degli argomenti
Come funziona Androxgh0st
Il malware Androxgh0st esegue una scansione delle reti per cercare applicazioni Laravel e sfruttarne le vulnerabilità e, individuati i requisiti utili, cerca i file .env – un file nascosto che contiene variabili d’ambiente – per esfiltrarne i dati che, a seconda dell’applicazione di riferimento, possono contenere anche credenziali di accesso a database o a servizi Cloud.
Non di meno, Androxgh0st sfrutta a sua volta delle vulnerabilità per diffondersi, in particolare le CVE-2017-9841, CVE-2018-15133 e CVE-2021-41773 che riguardano, nell’ordine, PHPUnit, il framework Laravel e Apache HTTP Server.
Androxgh0st si insinua anche tra i servizi SMTP, responsabili della trasmissione di email e storicamente un tallone d’Achille dei sistemi di difesa, diffondendo script dannosi che si prestano ad attacchi ulteriori e futuri.
Perché è una cyber minaccia temibile
Per diversi motivi: il primo è che sfrutta le vulnerabilità di Laravel che è ampiamente diffuso, il secondo è che dimostra una certa persistenza, spingendosi anche a prestare il fianco ad attacchi futuri.
Aggredisce anche le risorse Cloud e fa ampio affidamento sul protocollo SMTP, leader indiscusso dei server di posta elettronica.
La prudenza è quindi d’obbligo, l’allarmismo non lo è quasi mai. Mitigare i rischi a cui Androxgh0st espone le organizzazioni non è impossibile.
Pierluigi Paganini spiega la situazione nel suo insieme: “Il malware ha come obiettivo principale la ricerca di informazioni riservate memorizzate nei file .env, come credenziali di accesso a servizi come AWS e Twilio.
Altro elemento distintivo di questa minaccia è la sua capacità di sfruttare il protocollo SMTP in molti modi. Androxgh0st implementa molteplici tattiche come furto di credenziali, implementazione di web shell e lo sfruttamento di falle per ottenere accesso e persistenza nel sistema infetto. Sfrutta vulnerabilità note come CVE-2017-9841, CVE-2018-15133 e CVE-2021-41773 per compromettere le applicazioni Laravel. Gli esperti mettono in guardia dalle capacità distruttive del malware che potenziale potrebbe distruggere le reti che ospitano i sistemi infetti.
AndroxGh0st rappresenta una seria minaccia per le applicazioni Laravel, e può essere utilizzato da attori finanziariamente motivati così come attori Nation-state per attività di spionaggio, sabotaggio, ed estorsive”.
Come mitigare Androxgh0st
I rimedi sono sempre i medesimi, ovvero aggiornare i sistemi con puntualità e rigore. Le vulnerabilità sfruttate da Androxgh0st sono note da anni ma, nel caso specifico, è necessario fare un passo indietro ed entrare nelle stanze in cui le applicazioni vengono sviluppate. Occorre, infatti, che le analisi di sicurezza siano parte integrante del codice a partire dall’analisi che ne precede la stesura.
Sul mercato ci sono soluzioni basate su Machine learning che si prestano in modo particolare a proteggere le organizzazioni dai rischi rappresentati, tra gli altri, anche da Androxgh0st.
