Gli attacchi Zero-Day nei dispositivi edge di rete stanno rapidamente diventando uno degli attacchi informatici più sfruttati dai criminali. Un recente report delle agenzie di cybersecurity dell’Alleanza Five Eyes – che raggruppa Stati Uniti, Regno Unito, Australia, Canada e Nuova Zelanda – evidenzia questa tendenza segnalando un cambiamento allarmante rispetto agli anni precedenti. Per la prima volta, la maggior parte delle 15 vulnerabilità, è stata inizialmente sfruttata come Zero-Day “facendo tesoro” di difetti critici come quelli dell’esecuzione di codice in modalità remota del router Citrix NetScaler o della VPN di Fortinet che ha permesso di ottenere il controllo dei sistemi firewall Fortinet, minando le difese della rete.
Gli hacker utilizzano queste vulnerabilità per compromettere migliaia di dispositivi, ottenendo un accesso continuativo e installando webshell per il controllo a lungo termine, dando priorità proprio allo sfruttamento delle vulnerabilità Zero-Day appena divulgate per infiltrarsi nelle reti delle organizzazioni.
Le fragilità dei dispositivi edge
L’interesse per i dispositivi perimetrali come punti di accesso nasce dal fatto che questi risiedono al confine delle reti principali e la loro compromissione può garantire agli aggressori un “facile” punto di ingresso e d’appoggio all’interno delle reti stesse.
Casi come quelli citati dimostrano anche che i dispositivi di sicurezza possono diventare passivi dal momento che gli hacker violando questi apparati, possono manipolare o disabilitare le funzionalità di sicurezza, rendendo inefficaci i controlli tradizionali.
Gli strumenti di sicurezza tradizionali spesso non sono infatti in grado di rilevare attività dannose provenienti da dispositivi come i firewall. Poiché questi dispositivi sono considerati sicuri per impostazione predefinita, i comportamenti anomali possono passare inosservati e, una volta compromessi, i dispositivi possono essere utilizzati impunemente per agire in tutta l’organizzazione, diventando potenti strumenti per gli aggressori per intensificare le loro attività.
Per esempio, grazie alle vulnerabilità CVE-2024-3400 di PAN-OS gli aggressori sono stati in grado di scaricare le configurazioni del firewall, raccogliere le credenziali e disabilitare le registrazioni e gli alert.
In particolare, una volta all’interno della rete, gli aggressori in genere si impegnano in diverse attività post-compromissione, in particolare:
- Ricognizione
I cyber criminali analizzano l’architettura di rete, identificano le strutture di Active Directory e individuano server o database con informazioni di alto valore come nell’attacco SolarWinds.
- Raccolta delle credenziali
Gli aggressori estraggono le credenziali per aumentare i privilegi e ottenere un accesso completo alla rete. Ciò comporta spesso l’acquisizione di password memorizzate, l’utilizzo di strumenti per il download delle credenziali o il loro furto da configurazioni di sistemi compromessi. Nel caso dell’attacco Midnight Blizzard sono stati utilizzati phishing e malware per rubare credenziali con privilegi elevati permettendo l’accesso a sistemi di posta elettronica sensibili e ambienti cloud.
- Movimento laterale
I criminali usano protocolli come SMB, RDP e WinRM per spostarsi tra i sistemi, espandendo così la loro posizione all’interno dell’organizzazione, arrivando a infettare numerosi endpoint come nell’attacco ransomware WannaCry.
- Esfiltrazione dei dati
Gli aggressori raccolgono e trasferiscono dati sensibili al di fuori della rete, spesso crittografandoli o inviandoli a server esterni sotto il loro controllo, utilizzandoli per estorsioni, la vendita sul dark web o sfruttati per ulteriori attacchi. Ciò è accaduto con il ransomware Clop che ha sfruttato la vulnerabilità MOVEit Transfer per rubare dati sensibili da centinaia di organizzazioni, utilizzandoli successivamente per ottenere dalle vittime denaro.
- Mantenere l’accesso
Gli aggressori creano backdoor per mantenere l’accesso continuo alla rete compromessa. Nel 2023, gli attori delle minacce hanno sfruttato un approccio Zero-Day alle vulnerabilità di Citrix NetScaler ADC per installare webshell che fornivano un accesso persistente.
Oltre gli strumenti tradizionali
Alla luce di questi attacchi sofisticati, affidarsi esclusivamente alle misure di sicurezza tradizionali non è più sufficiente. Le organizzazioni hanno bisogno di un sistema avanzato per rilevare le attività dannose che bypassano o provengono da dispositivi compromessi; in particolare occorre dotarsi di soluzioni di Network Detection and Response (NDR) in quanto permettono:
- Rilevamento indipendente delle minacce: l’NDR opera separatamente dalla sicurezza degli endpoint e dai dispositivi compromessi, garantendo una visibilità continua;
- Analisi comportamentale: analizzando i modelli di traffico di rete, l’NDR può identificare anomalie indicative di ricognizione, movimento laterale e altre attività dannose;
- Rilevamento rapido: le soluzioni NDR come quella di Vectra AI utilizzano modelli avanzati di apprendimento automatico per rilevare le minacce in tempo reale, riducendo al minimo la finestra di opportunità per gli aggressori;
- Copertura completa: i tool NDR monitorano tutto il traffico di rete, comprese le comunicazioni interne spesso sfruttate durante il movimento laterale.
In questa direzione la piattaforma di Vectra AI è progettata specificamente per identificare, indagare e, non da ultimo, per rispondere alle minacce che sono sfuggite o hanno avuto origine da un’infrastruttura di sicurezza compromessa. La tecnologia proprietaria Attack Signal Intelligence di Vectra AI sfruttando l’intelligenza artificiale avanzata e l’apprendimento automatico (ML) permette di analizzare il traffico di rete in tempo reale e rilevare anche i minimi segnali di comportamenti dannosi.
A cura di Massimiliano Galvagna, Country Manager di Vectra AI per l’Italia
