Impatto sistemico

Alto (66.53)

Criticità

Medio (55)

Descrizione e potenziali impatti

Ricercatori di sicurezza di Infoblox hanno recentemente rilevato l’utilizzo di una botnet basata su dispositivi MikroTik compromessi al fine di distribuire malware, principalmente tramite “Spoofing”. Tale tecnica sfrutta l’errata configurazione dei record SPF sui server DNS del dominio di posta sorgente, in modo da consentire a fonti non verificate di inviare e-mail attraverso server di posta legittimi.

Errata configurazione dei record SPF

Il record SPF (Sender Policy Framework) è un tipo di record DNS che specifica quali server di posta sono autorizzati a inviare e-mail per conto di un dominio. Il protocollo SPF viene utilizzato per verificare che il server di invio sia autorizzato a inviare messaggi per conto di un dominio. Tuttavia, una configurazione errata dei record SPF può diventare un potente vettore per attività dannose.

In dettaglio, record SPF erroneamente configurati potrebbero consentire a domini non autorizzati di inviare e-mail come se fossero provenienti da un dominio legittimo.

L’esempio sottostante riporta la corretta configurazione del record SPF per il dominio “example.com”:

v=spf1 include:example.com -all

• v=spf1: indica la versione del protocollo utilizzato: versione 1;
• include:example.com: specifica quali server di posta sono autorizzati ad inviare e-mail per conto del dominio mittente;
• -all: “-“ che indica una politica di tipo “hard fail”, ovvero che tutti i server non esplicitamente elencati tramite il parametro “include” non sono autorizzati ad inviare email per conto del dominio.

Dalle analisi dei ricercatori è stato evidenziato l’errato utilizzo del parametro “all”:

v=spf1 include:example.com +all

•  +all: “-“ una politica di tipo “pass”, ovvero che qualunque server, indipendentemente che sia elencato o meno nel parametro include, è autorizzato ad inviare e-mail per conto del dominio.

Malspam: dettagli del trojan

Di conseguenza è stato documentato l’utilizzo di e-mail di malspam che utilizzano loghi e riferimenti riconducibili alla nota azienda di logistica e spedizioni “DHL Express”.

Nel dettaglio, le e-mail risulterebbero far leva sul mancato pagamento di una fattura che ha comportato il ritardo della consegna di una presunta corrispondenza. Tale e-mail è corredata da un archivio ZIP allegato, denominato “Invoce” o “Tracking” seguito da una serie di numeri casuali, contenente un trojan.

All’interno dell’archivio è di fatto presente un file JavaScript altamente offuscato che, qualora eseguito, avvia uno script PowerShell. Tale script contatta il server di Comando e Controllo (C2) al fine di ottenere il controllo del dispositivo, carpirne eventuali informazioni sensibili presenti al suo interno e annetterlo alla botnet.

Dispositivi compromessi

Nel dettaglio la botnet risulterebbe principalmente composta da almeno 13.000 dispositivi MikroTik compromessi. Tali dispositivi risulterebbero essere stati violati tramite lo sfruttamento di vulnerabilità note e/o a causa della mancata gestione degli account di amministrazione di default in fase di prima impostazione del dispositivo (ad esempio: account “admin” con password vuota).

Indipendentemente dalle modalità di compromissione, gli attaccanti hanno abilitato su tali dispositivi il protocollo SOCKS (Secure Sockets), al fine di rendere i device dei proxy TCP. SOCKS agisce da tunnel tra il client e il server, indirizzando il traffico di rete in modo sicuro, aiutando a occultare l’identità e la posizione geografica dell’attaccante.

Per eventuali ulteriori approfondimenti si consiglia di consultare il link all’analisi, disponibile nella sezione Riferimenti.

Tipologia

• Spoofing
• Remote Code Execution

Prodotti e/o versioni affette

• RouterOS versioni 6.x
• RouterOS versioni 7.x

Azioni di mitigazione

In linea con le dichiarazioni dei ricercatori di Infoblox, si raccomanda di mantenere costantemente aggiornarti i propri dispositivi, soprattutto qualora esposti direttamente su Internet.

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le e-mail ricevute e attivando le seguenti misure aggiuntive:

• fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing, diffidando da comunicazioni non attese che invitano all’apertura di allegati;
• configurare i propri sistemi di protezione antispam/antimalware per segnalare le mail con allegato un archivio protetto da password (e quindi non verificato) come potenzialmente dannose.

Inoltre, per verificare la corretta configurazione del proprio record SPF è possibile seguire i seguenti comandi:

Linux/Unix e macOS:

dig +short txt example.com | grep spf

Windows

nslookup -type=txt example.com | Select-String -Pattern "spf"

NB: la lista degli indicatori univoci di vulnerabilità riportata di seguito non è esaustiva.

CVE

Indicatori di compromissione

Riferimenti

https://blogs.infoblox.com/threat-intelligence/one-mikro-typo-how-a-simple-dns-misconfiguration-enables-malware-delivery-by-a-russian-botnet/
https://datatracker.ietf.org/doc/html/rfc7208#page-21