Impatto Sistemico

Alto (70.0)

Sintesi

Questo CSIRT ha recentemente osservato attività malevole volte a sfruttare vulnerabilità note presenti in prodotti Roundcube non adeguatamente aggiornati. Tali attività, perpetrate ai danni di organizzazioni localizzate sul territorio nazionale, hanno come obiettivo l’ottenimento di persistenza, di privilegi elevati e la possibilità di effettuare azioni di ricognizione sulle infrastrutture interessate.

Descrizione e potenziali impatti

Questo CSIRT ha recentemente osservato attività malevole volte a sfruttare vulnerabilità note presenti in prodotti Roundcube non adeguatamente aggiornati. Tali attività, perpetrate ai danni di organizzazioni localizzate sul territorio nazionale, hanno come obiettivo l’ottenimento di persistenza, di privilegi elevati e la possibilità di effettuare azioni di ricognizione sulle infrastrutture interessate.

Le evidenze raccolte indicano che l’accesso iniziale sia stato verosimilmente ottenuto mediante lo sfruttamento di vulnerabilità note presenti su server Roundcube esposti sulla rete Internet. La fase di post-exploitation si è articolata in tre passaggi:

• Persistenza e Accesso Remoto : installazione di webshell, nello specifico reGeorg , per creare tunnel SOCKS e mantenere il controllo costante sul server compromesso.
• Ricognizione Interna : utilizzo del tool fscan per la scansione della rete interna, identificazione di altri asset e mappatura delle porte aperte, propedeutica ad eventuali movimenti laterali.
• Privilege Escalation : impiego dell’exploit GodPotato (sfruttando il protocollo DCOM/RPCHTTP) per forzare l’acquisizione di privilegi di sistema (NT AUTHORITY\SYSTEM) partendo da account con privilegi limitati.

Dettagli inerenti alle vulnerabilità note

Le evidenze raccolte indicano che l’attacco ha presumibilmente interessato una o più delle vulnerabilità note presenti nelle istanze Roundcube Webmail esposte e non adeguatamente aggiornate (versioni ≤ 1.6.8):

• CVE-2025-49113 (Deserialization of Untrusted Data): di tipo “Remote Code Execution” post-autenticazione è dovuta da una non opportuna deserializzazione di oggetti PHP. Nel dettaglio, la falla risiede nella totale assenza di validazione del parametro _from nel file program/actions/settings/upload.php .
• CVE-2025-68460 (Improper Encoding or Escaping of Output): vulnerabilità di tipo “Information Disclosure”, causata da un errore logico presente nell’ HTML Style Sanitizer di Roundcube Webmail. Tale problematica consentirebbe, a un utente autenticato, l’accesso a dati non autorizzati a causa di controlli di validazione e autorizzazione non sufficienti nelle richieste applicative.
• CVE-2025-68461 (Improper Neutralization of Input During Web Page Generation): vulnerabilità di tipo “Stored Cross-Site Scripting” deriva dall’erronea sanitizzazione del tag <animate> nei file SVG. Nel dettaglio un utente malintenzionato potrebbe iniettare codice JavaScript nel contesto della sessione Roundcube della vittima, inducendo quest’ultima a visualizzare l’immagine malevola opportunamente predisposta.

Dettaglio sugli strumenti utilizzati dagli attaccanti

reGeorg

reGeorg è una webshell avanzata progettata per trasformare un server compromesso in un pivot proxy , consentendo agli attaccanti di instradare traffico TCP attraverso di esso. Viene utilizzata per ottenere accesso persistente ed eseguire tunneling verso sistemi interni non esposti e risulta utile per aggirare le restrizioni di rete e facilitare eventuali movimenti laterali.

fscan

fscan è un tool di network scanning multiprotocollo ampiamente utilizzato nelle operazioni di post-exploitation, progettato per effettuare scansioni complete delle reti interne in modo automatico. Tra le principali peculiarità si evidenziano le capacità di:

• enumerare rapidamente host interni,
• identificare porte aperte, servizi attivi e misconfigurazioni,
• rilevare vulnerabilità sfruttabili,
• individuare credenziali deboli o servizi esposti.

Oltre ad essere uno strumento particolarmente efficace nelle fasi di ricognizione interna, viene tipicamente utilizzato in maniera impropria per accelerare la mappatura dell’infrastruttura compromessa.

GodPotato

GodPotato è un exploit che sfrutta vulnerabilità nei meccanismi di autorizzazione/impersonificazione dei servizi Windows, permettendo a un utente con privilegi limitati di ottenere privilegi NT AUTHORITY\SYSTEM .

Viene comunemente impiegato per:

• eseguire privilege escalation su host Windows;
• ottenere privilegi di amministratore locale;
• preparare l’ambiente a payload più avanzati;
• installare nuovi servizi o script con privilegi elevati.

Criticità e superficie di esposizione

Il caso trattato sottolinea, ancora una volta, quanto sia rischioso esporre servizi applicativi su Internet senza garantire un’adeguata protezione tramite misure di sicurezza e aggiornamenti costanti. Sistemi accessibili pubblicamente, ove non correttamente configurati o mantenuti, costituiscono infatti un vettore privilegiato per gli attaccanti, che possono sfruttare vulnerabilità note, configurazioni errate o di default per ottenere un punto di accesso nella rete dell’organizzazione.

Questi scenari sono stati ampiamente trattati nell’ambito del bollettino BL01/250626/CSIRT-ITA , che rimarca come la presenza di tali scenari incrementino la superficie di esposizione e il rischio di compromissione.

L’analisi del contesto italiano (Figura 1) evidenzia una presenza non trascurabile di istanze Roundcube Webmail accessibili da rete pubblica. Tale scenario delinea una superficie di esposizione che, nell’attuale ecosistema digitale, suggerisce un’attenzione costante alle configurazioni di sicurezza e un monitoraggio puntuale dei sistemi, al fine di favorire la resilienza degli asset interessati rispetto alle dinamiche evolutive delle minacce informatiche.

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi attivando le seguenti misure preventive:

• applicare regolarmente patch di sicurezza a sistemi operativi, applicazioni e middleware, riducendo la superficie di attacco sfruttabile da vulnerabilità note;
• valutare la sostituzione di prodotti giunti a fine ciclo di vita (EOL), che non riceveranno ulteriori aggiornamenti dal vendor, con soluzioni moderne e supportate;
• esporre all’esterno solo i servizi strettamente necessari, limitando l’accesso tramite firewall e VPN;
• implementare la segmentazione della rete e VLAN dedicate al fine di isolare eventuali sistemi critici;
• rimuovere dalle configurazioni componenti e moduli non necessari;
• disabilitare funzionalità predefinite non utilizzate e applicare configurazioni sicure consigliate dai vendor;
• utilizzare meccanismi di autenticazione forte (multi-factor authentication);
• implementare una gestione rigorosa delle credenziali e ruotare periodicamente le password;
• abilitare logging e audit dettagliati per individuare attività sospette;
• integrare sistemi EDR/XDR e SIEM per rilevare indicatori di compromissione (IoC) o tecniche di attacco (es. process injection, credential dumping);
• mantenere copie di backup offline e testare regolarmente i piani di ripristino;
• definire procedure di incident response aggiornate al fine di reagire prontamente a eventuali compromissioni.

Azioni di risposta agli incidenti

Qualora si riscontrino evidenze di avvenuta compromissione sui propri sistemi, si raccomanda agli utenti e alle organizzazioni di attuare le seguenti azioni:

• collezionare eventuali evidenze, quali processi/servizi in esecuzione su dispositivi target, log di rete e log di autenticazione considerati non convenzionali;
• porre in isolamento e/o offline gli host potenzialmente interessati dalla compromissione;
• ripristinare gli host compromessi ad un’immagine precedente consistente (dopo aver espletato le necessarie attività forensi);
• resettare gli account degli utenti interessati dalla compromissione;
• segnalare tempestivamente a questo CSIRT, tramite il portale https://segnalazioni.acn.gov.it/ l’evento occorso.