Impatto Sistemico

Alto (65.0)

Descrizione

CISA, NSA, FBI e partner internazionali, hanno rilasciato un advisory congiunto al fine di notificare il rilevamento di una campagna malevola a livello globale, che interessa i settori delle telecomunicazioni, dei trasporti, ricettivo e delle infrastrutture militari.

Nel dettaglio, risulterebbero essere stati presi di mira i router della dorsale di rete di grandi operatori di telecomunicazioni, al fine di modificare opportunamente le configurazioni in modo da mantenere accesso persistente e duraturo alle relative infrastrutture.

Dalle analisi dei ricercatori è emerso che i malintenzionati non utilizzano tool particolarmente sofisticati e non sfruttano vulnerabilità zero-day, in quanto lo sfruttamento di vulnerabilità già note pubblicamente si sta rivelando particolarmente efficace.

Di seguito alcune fra le vulnerabilità sfruttate:

• CVE-2024-21887 : vulnerabilità di tipo “Arbitrary Code Execution” in Ivanti Connect Secure e Ivanti Policy Secure (già trattata da questo CSIRT nell’ambito dell’ AL01/240111/CSIRT-ITA )
• CVE-2024-3400 : vulnerabilità di tipo “Remote Code Execution” in Palo Alto Networks PAN-OS (già trattata da questo CSIRT nell’ambito dell’ AL03/240412/CSIRT-ITA )
• CVE-2023-20198 e CVE-2023-20273 : vulnerabilità rispettivamente di tipo “Authentication Bypass” e “Privilege Escalation” in Cisco IOS XE (già trattate nell’ambito dell’ AL03/231016/CSIRT-ITA )
• CVE-2018-0171 : vulnerabilità di tipo “Remote Code Execution” in Cisco IOS XE

Azioni di mitigazione

Si raccomanda di verificare di non essere affetti dalle vulnerabilità menzionate in questo alert, e di aggiornare tempestivamente ove non già provveduto.

Si consiglia, inoltre, di implementare le misure di mitigazione suggerite nel bollettino disponibile nella sezione Riferimenti.