Che la supply chain fosse critica per la cyber security lo abbiamo imparato nel 2020 proprio con lo stupefacente attacco ai danni di SolarWinds, dove gruppi cyber criminali state-sponsored hanno portato a termine uno degli attacchi alle supply chain più infidi di sempre: una volta ottenute le chiavi dei sistemi venduti e gestiti da SolarWinds, le intrusioni si sono propagate a macchia di leopardo su bersagli accomunati solo dall’utilizzo del medesimo prodotto SolarWinds.
Purtroppo, i rischi di quanto accaduto non sono finiti qui. Nel corso di quegli eventi, i codici dei prodotti SolarWinds sono stati violati. Questa intima conoscenza delle logiche di funzionamento, di dettagli implementativi, unita alla consapevolezza della diffusione capillare dei software SolarWinds all’interno delle infrastrutture informatiche di tantissimi provider gestiti e aziende corporate in giro per il mondo, rappresenta un grave rischio che incombe su partner e clienti di SolarWinds.
Indice degli argomenti
SolarWinds: è di nuovo emergenza
La seconda emergenza SolarWinds ha preso forma il 9 luglio scorso con il comunicato di sicurezza emanato dal vendor, anche se senz’altro ha origini più lontane, da quando l’azienda per la prima volta è venuta a conoscenza dei nuovi attacchi 0-day.
Subito, dal bollettino emerge la presenza di una grave falla CVE-2021-35211 che affligge i sistemi SolarWinds Serv-U, componenti utilizzati da una moltitudine di aziende per facilitare il trasferimento di file attraverso la rete interna e internet.
La vulnerabilità CVE-2021-35211 affligge alcuni dei moduli interni per la gestione della memoria in due componenti SolarWinds: “Serv-U Managed File Transfer” e “Serv-U Secure FTP”. In pratica, chi sa come sfruttare questa problematica può riuscire a compromettere a piacere un server dove è in esecuzione un servizio SolarWinds Serv-U senza nemmeno conoscere le credenziali di accesso minime.
Il grave problema di questa preoccupante vulnerabilità è che affligge dei servizi che, per loro natura, sono in tantissimi casi esposti direttamente su internet. Questo significa che un qualsiasi hacker in giro per il mondo può guadagnare un primo accesso all’interno delle reti aziendali semplicemente con una scansione di rete ed una particolare sequenza di messaggi e datagrammi creati causare il malfunzionamento delle componenti Serv-U di SolarWinds.
SolarWinds stessa ha indirizzato la gestione della falla come una vera e propria emergenza, pubblicando celermente aggiornamenti per tutte le versioni software Serv-U fino alla 15.2.3 HF1 ed emanando un bollettino nel quale consigliano di disabilitare porzioni di stack di servizio SSH per scongiurare eventuali intrusioni.
Raccomandazione forte, sì, ma estremamente fondata perché SolarWinds stessa, il 9 luglio era al corrente di attacchi 0-day proprio a quei sistemi.
Per questo la situazione è molto critica: là fuori ci sono criminal hacker che sanno già sfruttare la falla ai sistemi SolarWinds e al contempo internet è piena di centinaia di migliaia di istanze Serv-U raggiungibili da ogni parte del mondo, decine di migliaia solo in Italia.
Servizi Serv-U esposti ad internet in Italia (fonte:Yoroi).
La minaccia che viene dall’oriente
SolarWinds è stata colpita ripetutamente negli ultimi anni. L’eclatante attacco emerso lo scorso dicembre è stato portato a termine da cellule e gruppi hacker sponsorizzati dal governo russo che hanno fatto man bassa nella loro rete interna sino ad inoculare la backdoor Sunburst in migliaia di obiettivi sensibili.
Tuttavia, in realtà, i gruppi russi non sono stati gli unici ad interessarsi a questo produttore di software. Già da dicembre 2020 sono stati registrati attacchi a installazioni SolarWinds non patchate di tutt’altra natura: in questo caso, gli attacchi sono stati ricondotti ad un gruppo filo-cinese: “Spiral”.
Questo gruppo hacker ha infiltrato le organizzazioni bersaglio tramite la falla CVE-2020-10148 che permetteva di bypassare le autenticazioni alla piattaforma SolarWinds e ha utilizzato l’impianto backdoor SUPERNOVA per guadagnare il primo accesso alle reti dei suoi bersagli, impianto completamente diverso da quello in uso al gruppo hacker russo.
Questo interesse orientale per le tecnologie SolarWinds non è isolato: infatti, anche gli attacchi 0-day alle componenti Serv-U sono stati ricondotti alle sfere di influenza cinesi.
Il Threat Intelligence Center di Microsoft (MSTIC), ha infatti attribuito questi ultimi attacchi ad un gruppo che opera ai danni di organizzazioni totalmente al di fuori dei perimetri della Cina.
Questo gruppo hacker è ancora enigmatico ma, anche se Microsoft lo referenzia con il nome DEV-0322, esistono buone probabilità che si tratti degli stessi attaccanti specializzati in hackeraggi di sistemi SolarWinds, il gruppo “Spiral” referenziato già dallo scorso marzo dal team di ricerca di Secureworks.
