Ivanti avverte di una vulnerabilità critica sfruttata attivamente

Ivanti ha emesso un avviso riguardante lo sfruttamento attivo di una vulnerabilità critica (CVE-2025-0282, punteggio CVSS: 9.0) nei prodotti Ivanti Connect Secure, Policy Secure e Neurons for ZTA Gateways. Il difetto, un buffer overflow basato su stack, consente l'esecuzione di codice remoto non autenticato e interessa le versioni precedenti alla 22.7R2.5.

L'azienda di sicurezza Mandiant attribuisce gli attacchi a un attore di minaccia collegato alla Cina, UNC5337, evidenziando l'uso di malware non documentati chiamati DRYHOOK e PHASEJAM, parte dell'ecosistema SPAWN. Gli attaccanti hanno disabilitato SELinux, modificato i log, distribuito web shell ed eseguito script per mantenere l'accesso persistente.

Ivanti ha rilasciato una patch e sollecita aggiornamenti immediati. L'agenzia statunitense CISA ha aggiunto CVE-2025-0282 al suo elenco di vulnerabilità note e ha fissato la scadenza per la conformità al 15 gennaio 2025. Le organizzazioni sono invitate a monitorare eventuali segnali di compromissione e a segnalare attività sospette.

Atos nega la violazione dei sistemi dopo le affermazioni di Space Bears

Il colosso francese dei servizi IT Atos ha negato che i suoi sistemi siano stati compromessi dopo le dichiarazioni del gruppo ransomware Space Bears, che affermava di aver rubato un "database aziendale".

Atos ha confermato di aver indagato sulle affermazioni e di non aver trovato "alcuna evidenza di compromissione o ransomware che abbia colpito i sistemi Atos/Eviden a livello globale", né di aver ricevuto richieste di riscatto. Tuttavia, l'azienda ha riconosciuto che alcuni dati riferiti al suo nome sono stati ottenuti da un sistema di terze parti non collegato alla sua infrastruttura.

Il gruppo Space Bears, attivo dalla primavera 2024, elenca oltre 40 vittime sul suo sito di leak nel dark web e minaccia di pubblicare i presunti dati di Atos. L’azienda ha rassicurato i clienti, confermando la sicurezza dei suoi dati proprietari, del codice sorgente e della proprietà intellettuale.

Nuovo botnet basato su Mirai prende di mira router industriali e dispositivi smart home

Un botnet basato su Mirai è in rapida evoluzione e utilizza exploit zero-day per colpire vulnerabilità nei router industriali e nei dispositivi smart home. Scoperto all'inizio del 2024, controlla attualmente 15.000 nodi attivi al giorno, concentrati principalmente in Cina, Stati Uniti, Russia, Turchia e Iran.

I ricercatori di Chainxin X Lab hanno rivelato che il botnet ha iniziato a sfruttare vulnerabilità sconosciute nel novembre 2024, inclusa CVE-2024-12856, una falla nei router industriali Four-Faith identificata a dicembre. Il botnet prende di mira anche i router Neterbit e i dispositivi smart home Vimar.

L'obiettivo principale è lanciare attacchi DDoS, spesso superiori a 100 Gbps, causando interruzioni significative. Nonostante la breve durata (10-30 secondi), l'intensità lo rende efficace anche contro infrastrutture robuste.

Gli utenti sono invitati ad aggiornare il firmware dei dispositivi, disabilitare gli accessi remoti non necessari e modificare le credenziali amministrative predefinite. L’ampia portata del botnet evidenzia la necessità di migliorare la sicurezza dell’IoT.

GorillaBot: nuovo botnet ispirato a Mirai prende di mira settori globali

La società di cyber sicurezza NSFOCUS ha scoperto una nuova famiglia di malware botnet, Gorilla (detta anche GorillaBot), basata sul codice sorgente trapelato di Mirai. Tra il 4 e il 27 settembre 2024, il botnet ha inviato oltre 300.000 comandi di attacco, con una media di 20.000 attacchi DDoS al giorno.

GorillaBot ha colpito università, siti governativi, telecomunicazioni, banche e settori del gaming in oltre 100 paesi. Le nazioni più colpite includono Cina, Stati Uniti, Canada e Germania. Il botnet utilizza metodi DDoS come UDP flood, SYN flood e ACK flood, sfruttando lo spoofing delle sorgenti UDP per amplificare gli attacchi.

In grado di operare su diverse architetture CPU, GorillaBot sfrutta anche una vulnerabilità nota di Apache Hadoop YARN per l'esecuzione di codice remoto. La persistenza viene mantenuta tramite servizi systemd e file di avvio modificati.

NSFOCUS sottolinea i metodi avanzati di crittografia e le tattiche di evasione, collegandoli al gruppo Keksec, ma alcuni ricercatori affermano che GorillaBot sia attivo da oltre un anno.

Attacchi in corso sulla vulnerabilità critica CVE-2024-52875 di KerioControl

Gli hacker stanno sfruttando CVE-2024-52875, una vulnerabilità CRLF injection critica nei firewall GFI KerioControl che consente l'esecuzione remota di codice con un solo clic. La falla, resa nota dal ricercatore Egidio Romano nel dicembre 2024, riguarda le versioni dalla 9.2.5 alla 9.4.5 ed è causata da una sanitizzazione impropria del parametro 'dest', che consente l'iniezione di payload dannosi nelle risposte HTTP.

Gli attaccanti possono iniettare JavaScript per estrarre cookie o token CSRF dai browser delle vittime. Utilizzando il token CSRF di un amministratore autenticato, possono caricare un file .IMG dannoso per ottenere l'accesso root tramite la funzione di aggiornamento di Kerio, aprendo una shell inversa.

Greynoise ha rilevato tentativi di sfruttamento attivi da più indirizzi IP, mentre Censys segnala oltre 23.000 istanze di KerioControl esposte su internet. GFI Software ha rilasciato la patch 9.4.5 Patch 1 e invita gli utenti ad aggiornare immediatamente.

Gli amministratori che non possono applicare la patch dovrebbero limitare l'accesso all'interfaccia web ai soli IP affidabili, disabilitare l'accesso pubblico alle pagine '/admin' e monitorare il parametro 'dest' per rilevare anomalie.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.