I criminali informatici si evolvono sempre più e sfruttano nuove vulnerabilità per i loro scopi malevoli. Recentemente, con la divulgazione dell’exploit pubblico per la CVE di PAN-OS di Palo Alto, Akamai ha osservato un aumento dell’attività da parte di attori malevoli specializzati nel cryptomining, che hanno rapidamente incorporato questa vulnerabilità nel loro arsenale.
La vulnerabilità Zero-Day di PAN-OS dà libero accesso al cryptomining
L’11 aprile 2024, Palo Alto ha pubblicato un avviso relativo a una vulnerabilità zero-day nei suoi prodotti basati su PAN-OS, identificata dalla società di sicurezza Volexity. Questa vulnerabilità consente a un utente malintenzionato di creare un file arbitrario, il che può eventualmente consentire l’esecuzione di comandi con privilegi di utente root e installare script di cryptomining. La tecnica sfruttata prevede l’impostazione di un particolare valore nel cookie SESSID, che manipola PAN-OS per creare un file con il nome di questo valore. Combinando il cookie con una tecnica di path traversal, l’aggressore riesce a controllare sia il nome del file che la directory in cui il file è memorizzato.
L’attività delle minacce dopo la divulgazione della CVE
Quando vengono annunciati CVE critici come questo, è comune osservare un notevole aumento di attività che non sono necessariamente dannose. Spesso sono i ricercatori e i difensori a muoversi all’interno dell’exploit proof of concept pubblico, causando un picco significativo di attività. Tuttavia, secondo Akamai se prima la maggior parte dei tentativi di sfruttare questa CVE tra i clienti era semplicemente legato a sonde di vulnerabilità che cercavano di scrivere un file fittizio, recentemente si è assistito a un cambiamento preoccupante.
Akamai ha osservato infatti un aumento dei tentativi di eseguire comandi che scaricano ed avviano uno script bash da vari indirizzi IP situati in diverse aree geografiche e ospitati da diverse aziende. Questo comportamento indica un chiaro intento malevolo di utilizzare la vulnerabilità per installare software di cryptomining su sistemi vulnerabili.
Gli attori malevoli stanno sfruttando la vulnerabilità di PAN-OS per ottenere accesso con privilegi elevati e quindi installare script di cryptomining. Questa tattica non solo sfrutta le risorse del sistema per generare criptovaluta, ma può anche degradare le prestazioni dei sistemi infettati, creando potenziali problemi operativi per le organizzazioni colpite.
È quindi fondamentale che le aziende adottino misure proattive per proteggere i loro sistemi dalle vulnerabilità critiche come quella di PAN-OS e quindi dal cryptomining, implementando patch di sicurezza tempestive e monitorando costantemente l’attività di rete per individuare comportamenti sospetti.
