Redazione RHC : 26 Febbraio 2025 07:28
Una vulnerabilità critica legata all’esecuzione di codice remoto (RCE), CVE-2023-20118, che colpisce i router Cisco Small Business, è diventata una nuova arma per i criminali informatici che distribuiscono webshell e payload backdoor avanzati. La vulnerabilità, causata da una convalida errata degli input nell’interfaccia di gestione basata sul Web dei router, consente ad aggressori non autenticati di eseguire comandi arbitrari inviando richieste HTTP appositamente predisposte.
Questa falla è stata sfruttata attivamente dalla fine di gennaio 2025, come osservato dal team Threat Detection & Research (TDR) di Sekoia.io. Tra il 22 e il 31 gennaio 2025, alcuni aggressori hanno sfruttato questa vulnerabilità per distribuire una webshell sui router Cisco presi di mira.
L’attacco è iniziato con comandi di ricognizione per confermare la presenza della webshell. In caso di assenza, gli aggressori la distribuivano incorporando payload dannosi nelle richieste HTTP. La webshell è stata codificata in Base64 e compressa tramite gzip prima di essere inserita nello script di autenticazione del router per garantirne la persistenza.
Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Per l’esecuzione dei comandi, la webshell distribuita richiedeva una chiave di autenticazione nelle intestazioni HTTP. Questo meccanismo ha consentito agli aggressori di mantenere il controllo sui dispositivi compromessi, riducendo al contempo l’esposizione al rilevamento. Ma l’analisi suggerisce che la webshell serviva principalmente come meccanismo di distribuzione di malware di seconda fase, poiché durante le scansioni sono stati identificati solo quattro router infetti.
Gli aggressori hanno coordinato attacchi simultanei da più indirizzi IP, il che è indicativo di attività botnet. Questi attacchi comportavano il download e l’esecuzione di uno script shell denominato “q” tramite FTP. Lo script installava un payload backdoor TLS cipher_log
noto per l’architettura MIPS64.
Questa backdoor stabiliva canali di comunicazione criptati con server di comando e controllo (C2) e includeva meccanismi di persistenza e auto-occultamento. La botnet PolarEdge, così chiamata dai ricercatori per l’utilizzo dei certificati PolarSSL (ora Mbed TLS), ha infettato oltre 2.000 dispositivi in tutto il mondo.
Oltre ai router Cisco, il malware prende di mira anche i dispositivi Asus, QNAP e Synology, utilizzando tecniche simili.
Il CERT-AgID ha più volte segnalato attività di smishing a tema INPS che continuano a colpire il territorio italiano. L’obiettivo, come già evidenziato, è il furto di c...
Nella giornata di ieri, nel noto forum del dark web BreachForum, l’utente dallo pseudonimo Alcxtraze sostiene di aver trafugato un database del noto sito italiano di e-commerce eprice.it. La qu...
Oggigiorno il proliferare di dispositivi portatili, indossabili o comunque Smart hanno reso indispensabile lo scambio di dati, l’accesso alle risorse e la navigazione in rete. Questo appr...
Nelle ultime ore, Ama, l’azienda comunale responsabile della gestione dei rifiuti di Roma, ha subito un attacco informatico ai propri sistemi. La società ha attivato immediatamente tutte l...
Nella giornata di oggi, il gruppo di hacker noto come MoneroSHELL! ha compromesso diversi obiettivi web italiani, lasciando il proprio segno con una serie di defacement. L’attacco, reso noto at...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006