Security Notes

Aziende e VPN, i sistemi Cisco WebVPN sono sotto attacco

Sicurezza

Le virtual private network () consentono di estendere una rete privata su una connessione pubblica, esse sono utilizzate di frequente da un gran numero di aziende in tutto il mondo per garantire un accesso remoto sicuro alle risorse aziendali ai propri dipendenti proteggendo i dati in transito.

Proprio per il largo uso delle VPN che normalmente fanno le aziende, i principali sistemi che le implementano sono oggetto di interesse di gruppo di criminali informatici ed hacker al soldo di governi.
Le reti VPN sono utilizzate per accedere a risorse interne all’azienda e ai dati sensibili che ospitano: è chiaro, quindi, che l’intento principale di un attaccante è quello di rubare credenziali dei dipendenti che possono fornire accesso alla rete aziendale. Parliamo, di fatto, di spionaggio aziendale e di crimine informatico che di solito colpiscono aziende di profilo medio alto.

I ricercatori della azienda di Volexity hanno di recente scoperto una serie di attacchi informatici che hanno preso di mira le aziende che utilizzano uno dei prodotti più diffusi per l’implementazione di una VPN, il sistema Cisco VPN SSL clientless, anche noto come CISCO WebVPN per la sua interfaccia web accessibile attraverso un comune browser.
Gli attaccanti hanno messo a punto un codice malevolo, una backdoor, per collezionare le credenziali di accesso di ignari dipendenti mentre accedono alle risorse Web interne all’azienda, come documenti condivisi su repository interni.

Il mese scorso alla Conferenza CERT-UE tenutasi Bruxelles, gli esperti dell’azienda Volexity hanno tenuto una presentazione che ha illustrato una recente campagna condotta da criminali informatici che hanno elaborato un metodo semplice quanto efficace per compromettere i sistemi Cisco WebVPN. Gli aggressori sono stati in grado di impiantare con successo un codice JavaScript nelle pagine di login, in questo modo ogni volta che un impiegato cerca di accedere ad una risorsa aziendale le sue credenziali vengono catturate dal codice malevolo ed inviate all’attaccante.

La backdoor utilizzata dagli attaccanti risulta molto difficile da individuare in quanto il JavaScript malevolo è ospitato su un sito esterno e vi si accede solo tramite connessioni HTTPS sicure.

La lista delle vittime di questa nuova metodica di attacco è lunga e include aziende, organizzazioni non governative, organizzazioni mediche, università ed istituzioni accademiche, come spiegato in un blog post dai ricercatori della Volexity. Molti degli attacchi osservati dai ricercatori della Volexity hanno preso di mira aziende high-tech e organizzazioni governative Giapponesi. Gli hacker hanno modificato le pagine di login dell’applicazione Cisco WebVPN per caricare il codice JavaScript.

VPN cisco

Come fanno gli attaccanti ad impiantare la backdoor nel sito delle vittime?

Secondo gli esperti vi sono essenzialmente due metodiche:

  • Utilizzando un codice in grado in grado di sfruttare una falla nota dei sistemi Cisco WebVPN (CVE-2014-3393) che è stata risolta più di un anno fa. In tal caso, le aziende vittime degli attacchi non hanno aggiornato i propri sistemi.
  • Gli hacker riescono ad accedere come amministratori al sistema e vi iniettano il codice malevolo, ciò è possibile per esempio attraverso un attacco di spear phishing con cui si riesce a catturare le credenziali di un amministratore di sistema.

Cisco ha confermato di essere a conoscenza della scoperta fatta dai ricercatori dell’azienda Volexity e afferma di aver già prontamente rilasciato le patch per Cisco WebVPN lo scorso anno. I clienti Cisco sono invitati ad adottare le necessarie misure per la protezione dei propri ambienti, compresa la configurazione dei propri Firewall attenendosi alle best practices suggerite da Cisco.

Pierluigi Paganini

Pierluigi Paganini è Chief Information Security Officer presso Bit4Id, un’azienda leader nella fornitura di soluzioni per l’Identity Management basate su infrastrutture PKI. Ricopre anche il ruolo di capo editore per la nota rivista statunitense Cyber Defense Magazine e vanta una esperienza di oltre venti anni nel settore della cyber security.
La passione per la scrittura e la forte convinzione che la sicurezza sia una materia che la conoscenza sulla Cyber Security vada condivisa lo ha spinto a fondare il blog
Security Affairs, recentemente insignito del titolo di “Top National Security Resource for US.”
E’ membro dei gruppi di lavoro del portale “The Hacker News” e dell’ ICTTF International Cyber Threat Task Force, è inoltre autore di numerosi articoli pubblicati sulle principali testare in materia sicurezza quali Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine e molte altre riviste.
E’ membro del gruppo Threat Landscape Stakeholder Group dell’agenzia ENISA (European Union Agency for Network and Information Security).
Ha pubblicato due libri “The Deep Dark Web” e “Digital Virtual Currency and Bitcoin” rispettivamente sulla tematiche inerenti Deep Web ed i sistemi di moneta virtuali.

Facebook Twitter Google+ 

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This