Sono state recentemente riscontrate delle campagne di attacco che sfruttano tre diverse vulnerabilità per compromettere server e sistemi Linux: nello specifico, gli attacchi in corso coinvolgerebbero una nuova variante di malware, chiamata FreakOut, in grado di infettare molti dispositivi in un breve lasso di tempo e incorporarli in una botnet IRC a sua volta utilizzata per sferrare attacchi DDoS e attività malevoli di crypto-mining.
Indice degli argomenti
FreakOut: i prodotti interessati dalle vulnerabilità
Ad essere potenzialmente interessati da questa minaccia sarebbero tutti i dispostivi Linux che eseguono i seguenti prodotti non aggiornati e suscettibili a vulnerabilità relativamente nuove:
- TerraMaster TOS (TerraMaster Operating System), un noto fornitore di dispositivi di archiviazione dati (CVE-2020-28188, rilasciato il 28/12/20);
- Zend Framework, una popolare raccolta di pacchetti di librerie, utilizzata per la creazione di applicazioni web (CVE-2021-3007, rilasciato il 3/01/21);
- Liferay Portal, un portale aziendale gratuito e open source, con funzionalità per lo sviluppo di portali web (CVE-2020-7961, rilasciato il 20/03/20).
Qualora queste vulnerabilità che a vario titolo consentono l’esecuzione di codice arbitrario venissero sfruttate con successo, ogni dispositivo infettato potrebbe essere controllato a distanza dagli attori della minaccia (identificati come “Freak/Fl0urite”) e sfruttato per prendere di mira altri dispositivi vulnerabili, espandendo così la rete di macchine infette.
La catena d’infezione della botnet FreakOut
Come accuratamente schematizzato dai ricercatori Check Point, la catena d’infezione ha inizio con lo sfruttamento delle suddette vulnerabilità (CVE-2020-28188, CVE-2021-3007 e CVE-2020-7961) che consentono all’autore dell’attacco di iniettare una determinata sintassi di comandi, riconosciuta dal sistema operativo target, allo scopo di caricare ed eseguire uno script Python (out.py) sui server compromessi (a tal proposito gli analisti hanno specificato che trattasi di uno script implementato con una versione Python 2 oramai obsoleta avendo raggiunto l’end-of-file l’anno scorso).
Secondo il flusso esecutivo del processo malevolo, ciascuno dei dispositivi infettati potrà essere successivamente utilizzato per una propagazione laterale all’interno della stessa rete del target (come piattaforma di attacco ricorsiva), per comunicare, secondo un protocollo personalizzato, con un server di comando e controllo C2 IRC hardcoded (gxbrowser [.] Net) e, in talune varianti, potrà adoperare il miner Xmrig per l’estrazione di criptovaluta sfruttando le risorse del sistema colpito.
Le funzionalità e l’impatto del malware FreakOut
Dalla revisione condotta sul codice, risulta un’implementazione del malware altamente modulare e scalabile con funzioni specializzate per diverse attività che, oltre a quelle già accennate (crypto-mining, diffusione laterale e lancio di attacchi DDoS) principalmente includono:
- scansione delle porte;
- raccolta di informazioni circa le coppie di indirizzi MAC/IP e specifiche di memoria;
- creazione e invio di pacchetti dati per sferrare attacchi MitM tramite avvelenamento ARP;
- sniffing di rete;
- capacità di attacchi di tipo brute force tramite utilizzo di credenziali hardcoded;
- guadagno di persistenza e funzioni “exploit” per generare casualmente gli indirizzi IP da attaccare e sfruttare le vulnerabilità note (CVE-2020-7961, CVE-2020-28188, CVE-2021-3007).
Inoltre, la ricerca ha scovato diverse attività della campagna di attacco in corso individuando evidenze sui server C2 principali attivi e sui dispositivi violati.
In particolare, nel periodo compreso tra l’8 e il 13 gennaio corrente l’analisi telemetrica ha identificato le aree geografiche e i settori principalmente coinvolti, ovvero il Nord America insieme all’Europa occidentale (individuando l’Italia come primo paese europeo interessato con una incidenza del 6,61%) e gli ambiti della finanza (26,47%), governativi (23,53%) e sanitari (19,33%).
Come proteggersi
Tali campagne di attacco tutt’ora in corso e che possono ulteriormente diffondersi rapidamente evidenziano quanto sia importante la prevenzione e l’aggiornamento delle protezioni di sicurezza.
Al riguardo, gli stessi ricercatori Check Point rimarcano le best practice essenziali per una corretta salvaguardia. Al fine di prevenire lo sfruttamento dei CVE evidenziati da parte di FreakOut, a tutti gli utenti dei prodotti interessati si consiglia di provvedere con urgenza a controllare e patchare i propri server e dispositivi Linux (le patch sono già disponibili).
Sono inoltre caldamente consigliate le implementazioni sia di sistemi di prevenzione delle intrusioni (IPS) che di sistemi di protezioni degli endpoint, strumenti che dovrebbero essere assolutamente sempre impiegati per prevenire tentativi di sfruttamento di punti deboli in sistemi o applicazioni vulnerabili e attacchi malware, accrescendo in tal modo il livello di protezione e sicurezza della propria organizzazione, fondamentale per evitare una violazione della privacy e una compromissione dei dati.