Sintesi

Nell’ambito delle proprie attività istituzionali, questo CSIRT ha rilevato attività di scansione rivolte a endpoint web esposti su Internet, in particolare a sistemi basati su WordPress (e relativi plugin), Laravel, aaPanel e altre interfacce di amministrazione.

Le evidenze raccolte indicano attività automatizzate riconducibili a campagne opportunistiche finalizzate all’individuazione di sistemi potenzialmente vulnerabili.

Descrizione e potenziali impatti

Nell’ambito delle proprie attività istituzionali, questo CSIRT ha rilevato attività di scansione rivolte a endpoint web esposti su Internet, in particolare a sistemi basati su WordPress (e relativi plugin), Laravel, aaPanel e altre interfacce di amministrazione.

L’attività osservata si inserisce in campagne automatizzate che prevedono fasi strutturate di raccolta e analisi target. In particolare, gli attori coinvolti effettuano:

• attività di discovery massivo (es. scansioni dei servizi HTTP/S o utilizzo di motori di indicizzazione);
• identificazione delle tecnologie esposte tramite tecniche di fingerprinting (WordPress, Laravel, pannelli di amministrazione, ecc.);
• interrogazione di endpoint noti e directory standard per individuare componenti, plugin e versioni installate;
• utilizzo automatizzato di moduli di exploit associati a vulnerabilità note.

Tali attività mirano a verificare la presenza di condizioni favorevoli allo sfruttamento di vulnerabilità già pubblicamente documentate. In caso di esito positivo con successivo sfruttamento, i possibili impatti includono: accessi non autorizzati, esecuzione di codice da remoto, alterazione dei dati, nonché l’eventuale installazione di meccanismi di persistenza (es. webshell o backdoor) e l’integrazione dei sistemi compromessi in infrastrutture malevole.

Criticità, Superficie di Esposizione e Azioni di Mitigazione

Le attività rilevate evidenziano la necessità di mantenere un adeguato livello di sicurezza sugli asset esposti su Internet, attraverso misure di aggiornamento continuo e corretta configurazione dei sistemi.

Si raccomanda pertanto l’applicazione di quanto di seguito riportato specificando che la mancata, parziale o ritardata implementazione di opportune contromisure non deve essere considerata come una consapevole accettazione del rischio ma come un significativo aumento della probabilità di compromissione dell’infrastruttura:

• applicazione tempestiva degli aggiornamenti di sicurezza (dispositivi non aggiornabili devono essere rimossi e sostituiti quanto prima);
• rimozione di plugin e temi non utilizzati, inclusi temi di default: componenti inattivi rappresentano comunque una superficie attaccabile;
• implementazione di ”autenticazione a più fattori” (MFA) su ogni accesso remoto, VPN o interfaccia esposta e per tutti gli utenti;
• limitazione dell’esposizione di wp-admin/ e wp-login.php (ove possibile tramite allowlist IP/VPN) e applicazione di protezioni anti-bruteforce;
• estensione della copertura EDR a tutti gli endpoint dell’organizzazione: qualsiasi host connesso alla rete sprovvisto di EDR costituisce un punto critico sul quale non si ha alcuna visibilità;
• implementazione e corretta configurazione dei controlli di sicurezza a livello di rete e applicativo, attraverso l’utilizzo combinato di firewall e Web Application Firewall (WAF);
• adozione di copie di backup offline (cold-storage) con credenziali dedicate e meccanismi di immutabilità, al fine di assicurare la piena capacità di ripristino.