In questi mesi Akamai ha osservato una crescita delle attività degli attori malevoli specializzati nel cryptomining, che hanno rapidamente incorporato la vulnerabilità di PAN-OS nel loro arsenale. Nel campo della sicurezza informatica, gli attori malevoli sono in costante evoluzione, alla ricerca di nuove vulnerabilità da sfruttare per i loro scopi malevoli. Come recentemente, ha osservato Akamai con la divulgazione dell’exploit pubblico per la CVE di PAN-OS di Palo Alto.
La vulnerabilità Zero-Day di PAN-OS
L’11 aprile 2024, Palo Alto ha pubblicato un avviso relativo a una vulnerabilità zero-day nei suoi prodotti basati su PAN-OS, identificata dalla società di sicurezza Volexity. Questa vulnerabilità consente a un utente malintenzionato di creareun file arbitrario, il che può eventualmente consentire l’esecuzione di comandi con privilegi di utente root. La tecnica sfruttata prevede l’impostazione di un particolare valore nel cookie SESSID, che manipola PAN-OS per creare un file con il nome di questo valore. Combinando il cookie con una tecnica di path traversal, l’aggressore riesce a controllare sia il nome del file che la directory in cui il file è memorizzato.
L’attività delle minacce dopo la divulgazione della CVE
Quando vengono annunciati CVE critici come questo, è comune osservare un notevole aumento di attività non necessariamente dannose. Spesso sono i ricercatori e i difensori a muoversi all’interno dell’exploit proof of concept pubblico, causando un picco significativo di attività. Tuttavia, secondo Akamai se prima la maggior parte dei tentativi di sfruttare questa CVE tra i clienti era semplicemente legato a sonde di vulnerabilità che cercavano di scrivere un file fittizio, recentemente si è assistito a un cambiamento preoccupante.
La vulnerabilità di PAN-OS
Akamai ha osservato infatti un aumento dei tentativi di eseguire comandi che scaricano ed avviano uno script bash da vari indirizzi IP. Indirizzi situati in diverse aree geografiche e ospitati da diverse aziende. Questo comportamento indica un chiaro intento malevolo di utilizzare la vulnerabilità per installare software di cryptomining su sistemi vulnerabili. Gli attori malevoli stanno sfruttando la vulnerabilità di PAN-OS per ottenere accesso con privilegi elevati e quindi installare script di cryptomining. Questa tattica non solo sfrutta le risorse del sistema per generare criptovaluta, ma può anche degradare le prestazioni dei sistemi infettati, creando potenziali problemi operativi per le organizzazioni colpite.
Individuare comportamenti sospetti
È quindi fondamentale che le aziende adottino misure proattive per proteggere i loro sistemi dalle vulnerabilità critiche come quella di PAN-OS. Misure che implementino patch di sicurezza tempestive e monitorino costantemente l’attività di rete per individuare comportamenti sospetti.
