Ven. Dic 13th, 2024

Negli ultimi giorni, l’ecosistema della cybersicurezza è stato scosso dalla scoperta di tre vulnerabilità critiche (CVE-2024-9379, CVE-2024-9380, CVE-2024-9381) all’interno del software Ivanti Cloud Service Appliance (CSA). Queste vulnerabilità zero-day, attualmente sotto attivo sfruttamento da parte di attori malevoli, rappresentano una minaccia significativa per aziende e organizzazioni governative che si affidano a Ivanti per la gestione dei propri ambienti cloud. La gravità di questa situazione è amplificata dal fatto che i cybercriminali sono riusciti a sfruttare attivamente queste falle prima che le patch di sicurezza fossero rese disponibili. La rapidità con cui le vulnerabilità sono state scoperte e sfruttate evidenzia la crescente sofisticazione degli attacchi e l’elevata capacità di risposta degli attori malevoli nel sviluppare exploit per vulnerabilità zero-day.

Ivanti ha prontamente rilasciato aggiornamenti di sicurezza per mitigare il rischio, ma il potenziale impatto rimane considerevole a causa dell’ampia diffusione della soluzione CSA nel mercato enterprise. Le aziende che utilizzano Ivanti CSA devono affrontare non solo il rischio immediato di compromissione dei sistemi, ma anche le implicazioni legali e finanziarie connesse a una possibile violazione dei dati e a interruzioni operative. Il rischio più significativo risiede nella possibilità che questi exploit consentano accessi non autorizzati ai sistemi, compromettendo la sicurezza dei dati e la continuità operativa delle infrastrutture aziendali. Sebbene l’adozione tempestiva delle patch sia una misura fondamentale, essa da sola non è sufficiente se non accompagnata da strategie di sicurezza proattive e reattive più ampie.

Analisi Tecnica e Contesto

Da un punto di vista tecnico, le vulnerabilità identificate sfruttano diverse debolezze nei moduli di gestione dell’autenticazione e nell’integrazione tra il servizio CSA e altre piattaforme Ivanti. Le vulnerabilità CVE-2024-9379 e CVE-2024-9380 permettono un’escalation dei privilegi che può condurre a un accesso amministrativo completo al sistema, mentre CVE-2024-9381 consente la compromissione dei dati attraverso iniezioni di codice. Questi attacchi si basano su metodologie consolidate, come la manipolazione del traffico API e l’abuso di credenziali di autenticazione compromesse. La manipolazione del traffico API consente agli attori malevoli di sfruttare le vulnerabilità con relativa facilità, soprattutto se le comunicazioni non sono adeguatamente protette da meccanismi di crittografia robusti e verifiche di autenticità efficaci.

Il tipo di attacco osservato è comunemente denominato “watering hole”, un tipo di attacco sofisticato in cui i cybercriminali prendono di mira utenti specifici di un servizio, sfruttando la fiducia che le aziende ripongono nei fornitori di soluzioni tecnologiche come Ivanti. Questo tipo di attacco è particolarmente pericoloso poiché consente agli aggressori di muoversi lateralmente attraverso la rete, colpendo sistemi secondari una volta compromesso il punto d’ingresso iniziale. Una volta che un attore malevolo ha ottenuto l’accesso, può raccogliere informazioni sensibili sulla rete, identificare ulteriori sistemi vulnerabili e compromettere risorse aggiuntive, portando a una compromissione estesa e capillare dell’infrastruttura.

Per meglio comprendere la portata di questi attacchi zero-day, è utile fare un confronto con il caso del 2020 delle vulnerabilità di SolarWinds, in cui una backdoor nota come Sunburst permise agli attaccanti di penetrare nelle infrastrutture IT di diverse agenzie governative e aziende private. In modo analogo, le vulnerabilità di Ivanti CSA presentano un elevato potenziale per attacchi persistenti, difficili da rilevare, in grado di compromettere molteplici servizi all’interno di un’infrastruttura IT. La similitudine tra questi attacchi risiede nella capacità degli attori malevoli di sfruttare relazioni di fiducia preesistenti tra fornitori di servizi e clienti per espandere il loro raggio d’azione e massimizzare l’impatto.

Gli strumenti utilizzati dagli aggressori comprendono scanner automatici di vulnerabilità per identificare installazioni di Ivanti CSA non aggiornate e strumenti di penetrazione come Metasploit per sfruttare le vulnerabilità conosciute. La rapidità con cui questi exploit sono stati sviluppati e distribuiti indica un alto livello di sofisticazione da parte degli attori malevoli, verosimilmente finanziati da gruppi con risorse significative o persino da stati-nazione. Questa dinamica è tipica di attacchi avanzati (Advanced Persistent Threat, APT), spesso sponsorizzati da governi o da gruppi di cybercriminali organizzati. Gli attaccanti utilizzano strumenti automatizzati per accelerare il processo di identificazione delle vulnerabilità, evidenziando la necessità di risposte rapide e coordinate da parte delle organizzazioni bersaglio.

Secondo l’ACSC (Australian Cyber Security Centre), che ha emesso un’allerta riguardo a queste vulnerabilità, molte organizzazioni pubbliche e private sono potenzialmente esposte. Ivanti ha collaborato con varie agenzie governative, inclusa la CISA (Cybersecurity and Infrastructure Security Agency) negli Stati Uniti, per offrire linee guida di mitigazione. Tra le raccomandazioni figura l’implementazione tempestiva delle patch disponibili, ma anche l’adozione di misure difensive quali la segmentazione della rete e il monitoraggio continuo degli endpoint. La segmentazione delle reti aziendali permette di ridurre significativamente l’impatto di una compromissione, limitando la capacità degli aggressori di muoversi lateralmente e di raggiungere altre parti dell’infrastruttura. Inoltre, il monitoraggio continuo degli endpoint è cruciale per rilevare attività anomale che potrebbero indicare un attacco in corso.

Dati recenti mostrano che oltre il 30% delle aziende che utilizzano Ivanti CSA non ha ancora applicato le patch critiche, evidenziando un problema cronico nella tempestività dell’adozione degli aggiornamenti di sicurezza da parte di molte organizzazioni. Questa lentezza nell’applicazione degli aggiornamenti non solo espone le aziende al rischio di attacchi, ma rappresenta anche una mancata conformità agli standard di sicurezza generalmente riconosciuti nel settore, con potenziali conseguenze legali e finanziarie significative. Situazioni simili si sono verificate in passato, come nel caso delle vulnerabilità VPN di Pulse Secure, anch’esse sfruttate in maniera massiccia a causa della lentezza nelle correzioni. Molto spesso, le organizzazioni tendono a posticipare l’implementazione degli aggiornamenti per evitare interruzioni operative, ma questa scelta incrementa esponenzialmente il rischio di attacchi riusciti.

Le vulnerabilità zero-day come quelle scoperte in Ivanti rappresentano una minaccia crescente e sempre più sofisticata. Gli attacchi mirano a sfruttare falle sconosciute ai produttori per ottenere vantaggi tattici su obiettivi strategici. Per mitigare tali rischi è essenziale adottare un approccio proattivo alla sicurezza informatica, che includa non solo l’aggiornamento tempestivo delle patch, ma anche la capacità di rilevare comportamenti anomali nelle reti e nei sistemi. Un approccio multilivello alla sicurezza informatica, che comprenda l’uso di sistemi di rilevamento e risposta agli endpoint (EDR), tecniche di threat hunting, e l’integrazione di sistemi di analisi comportamentale, può migliorare significativamente la capacità di prevenire e rispondere agli attacchi zero-day.

Tabella Riassuntiva delle Vulnerabilità Ivanti CSA Zero-Day

CVE IDDescrizioneTipo di VulnerabilitàMetodo di AttaccoLivello di Rischio
CVE-2024-9379Escalation di privilegiPrivilege EscalationManipolazione APICritico
CVE-2024-9380Escalation di privilegiPrivilege EscalationTraffico non autenticatoCritico
CVE-2024-9381Compromissione di datiCode InjectionIniezione codice tramite APICritico

Come Proteggersi

Per mitigare il rischio rappresentato dalle vulnerabilità zero-day di Ivanti CSA, le organizzazioni devono prioritizzare l’implementazione delle patch rilasciate da Ivanti e adottare ulteriori misure di sicurezza per proteggere le proprie infrastrutture. È essenziale stabilire un processo di gestione delle patch ben definito, che consenta di applicare tempestivamente gli aggiornamenti di sicurezza appena disponibili. Inoltre, l’implementazione di misure preventive, come la segmentazione della rete e l’adozione di sistemi di monitoraggio proattivo, può ridurre significativamente l’esposizione ai rischi. Le aziende devono considerare anche l’adozione di tecnologie di rilevamento e risposta agli attacchi (XDR), che permettano una visibilità end-to-end delle attività sulla rete, migliorando la capacità di identificare e bloccare attività sospette prima che possano causare danni significativi.


Questo articolo scritto da Raffaele DIMARZIO (https://www.linkedin.com/in/raffaeledimarzio/), può essere utilizzato per le analisi AI del podcast prodotto da Cyberium Media Miami per la piattaforma Apple Podcast, e distribuito anche su YouTube, YouTube Music, Amazon Music, Audible, Spotify, iHeartRadio, e Deezer. Il Podcast è una analisi indipendente e trasparente del mondo della cybersecurity, del cyberlegal e delle compliance, ed esplora le riflessioni e contenuti dell’autore attraverso analisi e tecniche di intelligenza artificiale, basate su da Gemini Pro. Tutti i podcast sono disponibili qui: https://technocratico.it/cyberium-podcast/