Flowmon, il software di monitoraggio di rete è afflitto da una vulnerabilità critica

La falla di sicurezza, identificata come CVE-2024-2389, permette agli aggressori di eseguire comandi di sistema arbitrari sulle macchine che ospitano il software.

Che cos’è Flowmon e perché è importante?

Flowmon è una soluzione di monitoraggio delle prestazioni di rete che supporta le aziende nell’ottimizzare le loro infrastrutture, nell’individuare e prevenire le anomalie, nel controllare il traffico e nel proteggere i dati. Oltre 1.500 aziende in tutto il mondo usano il software, tra cui importanti organizzazioni come Vodafone, Orange, KBC e l’Università di Oxford.

Flowmon usa una tecnologia chiamata NetFlow, che permette di raccogliere e analizzare i dati sul flusso del traffico di rete, offrendo informazioni dettagliate sulle prestazioni, i problemi e le minacce.

Qual è la vulnerabilità scoperta e come funziona?

La vulnerabilità, identificata come CVE-2024-2389, è stata scoperta da un ricercatore di sicurezza indipendente, che ha segnalato il problema a Progress Software, la società che sviluppa e distribuisce Flowmon. Si tratta di una vulnerabilità di iniezione di comandi del sistema operativo, che permette a un utente non autenticato di accedere al sistema tramite l’interfaccia di gestione di Flowmon e di eseguire comandi di sistema arbitrari.

Questo significa che un attaccante potrebbe, ad esempio, leggere, modificare o cancellare file, installare malware, cambiare le impostazioni di rete o ottenere l’accesso a root. Questo tipo di vulnerabilità è particolarmente pericoloso perché può consentire agli aggressori di ottenere dati sensibili e configurazioni di rete, facilitando attacchi più ampi e potenzialmente distruttivi.

Come si può prevenire o mitigare il rischio?

Il problema riguarda le versioni di Flowmon precedenti alla 11.1.14 e alla 12.3.5. Progress Software ha prontamente informato gli utenti della vulnerabilità il 4 aprile, sollecitando gli amministratori di sistema ad aggiornare alle versioni più recenti, che includono le correzioni necessarie.

L’aggiornamento è fortemente raccomandato, in quanto elimina la possibilità di sfruttare la vulnerabilità. Inoltre, è stato rilasciato un exploit proof-of-concept che dimostra come un attaccante possa sfruttare questa vulnerabilità per piantare una webshell e scalare i privilegi a root.

È importante notare che, nonostante la gravità della vulnerabilità, non ci sono stati rapporti di sfruttamento attivo al momento della pubblicazione. Tuttavia, questo non significa che il rischio sia nullo, e le aziende devono essere vigili e pronte a reagire rapidamente quando vengono identificate vulnerabilità critiche come questa, per proteggere i propri dati e quelli dei loro clienti.

Quali sono le implicazioni e le lezioni da trarre da questo incidente?

Questo incidente mette in luce l’importanza di mantenere i sistemi aggiornati e di seguire le migliori pratiche di sicurezza informatica. Le vulnerabilità di software possono essere scoperte in qualsiasi momento e da chiunque, e possono avere conseguenze gravi se non vengono risolte tempestivamente.

Le aziende che utilizzano Flowmon, o qualsiasi altra soluzione di monitoraggio di rete, devono assicurarsi di applicare le patch di sicurezza non appena disponibili, di monitorare costantemente le attività anomale e di implementare misure di difesa a più livelli, come firewall, antivirus e backup. Inoltre, devono educare i propri dipendenti e clienti sull’importanza della sicurezza informatica e sulle buone pratiche da seguire, come usare password forti e uniche, evitare di cliccare su link o allegati sospetti e segnalare qualsiasi incidente o sospetto di violazione.

Conclusione

La sicurezza informatica è una sfida sempre più rilevante e urgente per le aziende di tutti i settori e le dimensioni. L’incidente di Flowmon dimostra che nessun sistema è immune dalle minacce e che la prevenzione, il rilevamento e il recupero sono aspetti fondamentali di una strategia di sicurezza efficace. Le aziende devono assumersi la responsabilità di proteggere i propri dati e quelli dei propri clienti, e di investire nelle soluzioni e nelle competenze necessarie per farlo.

Solo così potranno garantire la continuità del business, la fiducia dei consumatori e la conformità alle normative in un mondo sempre più digitalizzato e interconnesso. CVE-2024-2389 è un promemoria severo che la sicurezza informatica è una responsabilità continua e che la minaccia di attacchi cibernetici è sempre presente. Gli aggiornamenti tempestivi e la consapevolezza delle minacce sono essenziali per difendersi da potenziali compromissioni.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana

Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore