- Il confronto
- Computer
- Un’altra VPN di punta verrebbe utilizzata per diffondere l’hacking di SolarWinds
Secondo un nuovo avviso, gli autori delle minacce hanno utilizzato il dispositivo Pulse Secure VPN per installare Webshell Supernova sul server SolarWinds Orion della vittima e raccogliere le credenziali dell'utente senza autorizzazione.
Secondo un recente avviso pubblicato dalla Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti, questo sembra essere il primo caso osservato di un hacker che ha iniettato la webshell Supernova direttamente nell'installazione SolarWinds di una vittima.
L'attacco è significativo perché si discosta dal vettore utilizzato nel precedente attacco SolarWinds. Invece di contaminare la catena di approvvigionamento, gli aggressori dell'ultimo attacco hanno installato Webshell collegandosi direttamente al server SolarWinds della vittima.
LaComparacion ha bisogno di te! Stiamo dando un'occhiata a come i nostri lettori utilizzano le VPN per un prossimo rapporto approfondito. Ci piacerebbe sentire la tua opinione nel sondaggio qui sotto. Non ci vorranno più di 60 secondi del tuo tempo.
Fare clic qui per avviare il sondaggio in una nuova finestra
“La CISA ritiene che si tratti di un attore indipendente dall’attore APT responsabile della compromissione della catena di fornitura di SolarWinds. Le organizzazioni che incontrano Supernova sulle loro installazioni SolarWinds dovrebbero trattare questo incidente come un attacco separato”, scrive CISA nel suo ultimo avviso.
Nuovo vettore di attacco
L’attacco SolarWinds scoperto nel dicembre 2020 ha iniettato aggiornamenti dannosi nel software SolarWinds. Gli Stati Uniti hanno preso di mira gli attacchi contro gli autori di minacce russe sponsorizzate dallo Stato e ci sono state diverse ripercussioni, tra cui sanzioni contro le aziende russe e l’espulsione di diplomatici russi.
Sono state adottate diverse misure di mitigazione per proteggere i server SolarWinds da qualsiasi compromissione. Tuttavia, il nuovo avviso CISA suggerisce che gli autori delle minacce hanno adottato una nuova tattica.
Nella sua analisi, la CISA rileva che l'autore della minaccia ha utilizzato il dispositivo Pulse Secure VPN per connettersi ai server della vittima almeno tra marzo 2020 e febbraio 2021.
Sebbene CISA abbia notato che gli aggressori si sono autenticati con il dispositivo Pulse Secure VPN utilizzando credenziali rubate per impersonare telelavoratori, la società di sicurezza informatica Ivanti la scorsa settimana ha riconosciuto un difetto nei suoi dispositivi Pulse Connect Secure VPN. La società ha affermato che la falla è stata sfruttata dagli autori di minacce per entrare nei sistemi di "un numero molto limitato di clienti".
Anche se la CISA ha osservato la nuova strategia di attacco contro una sola vittima, è logico che potrebbero essercene molte di più. In modo allarmante, a seguito del fallimento dell’attacco CISA, sembra essere immune da qualsiasi mitigazione dell’attacco alla catena di approvvigionamento di SolarWinds.
Tramite VentureBeat