Recentemente diverse società leader nella cyber security hanno subito attacchi informatici estremamente sofisticati
Negli ultimi mesi abbiamo assistito ad attacchi ad aziende leader nella CyberSecurity che hanno definitivamente distrutto la supply chain security. Fra queste, per annoverare alcuni nomi, possiamo elencarvi FireEye, Malwarebytes, Microsoft, Google, Stormshield, Sonicwall, Acer.
Fra questi, uno di quelli che è passato in sordina è quello avvenuto nei confronti della azienda Accellion (www.accellion.com).:società leader nella produzione di soluzioni di enterprise content firewall ed altre soluzioni.
Accellion è stata vittima di un attacco SQL injection in due fasi che ha provocato significative violazioni dei dati sensibili. Questo attacco è importante per diversi motivi. Innanzitutto si evidenzia che gli attacchi basati sulla SQL injection sono in notevole crescita. Un’aspetto ancora più importante, a seguito dell’analisi fatta su questo attacco, è la conferma che gli aggressori ed i loro metodi stanno diventando sempre più creativi e sofisticati. Per questo le aziende devono impegnarsi maggiormente nell’analisi e nel monitoraggio dei dati.
Quando le organizzazioni combinano la mitigazione delle minacce incentrate sui dati con la protezione di tutti i percorsi verso i propri dati, sono in una posizione migliore per bloccare violazioni sofisticate, come questa, sul loro percorso.
Alla fine del 2019 la società Accellion è stata vittima di un attacco SQL injection in due fasi che ha provocato significative violazioni dei dati sensibili negli ultimi mesi.
Impariamo dalla cronologia degli eventi
Diamo uno sguardo più da vicino ai dettagli di questo attacco e spieghiamo perché capire “il come” è fondamentale per fermare attacchi simili in futuro.
Nel dicembre 2020, gli aggressori hanno sfruttato una singola vulnerabilità zero-day nella tecnologia FTA (File Transfer Appliance) della società americana per rubare dati dei clienti, informazioni sul credito e dati personali come date di nascita e indirizzi e-mail, da utilizzare successivamente come possibile leva nei tentativi di estorsione in corso.
Un’analisi post-violazione dell’attacco ha rivelato che gli aggressori hanno sfruttato le seguenti vulnerabilità nel firewall: SQL Injection (CVE-2021-27101) e OS Command Execution (CVE-2021-27104). L’autore dell’attacco ha sfruttato la vulnerabilità SQL Injection contro il file document_root.html per recuperare le chiavi “W” dal database Accellion FTA. L’azienda ha rilasciato una patch per mitigare le vulnerabilità meno di 72 ore dopo la rilevazione dell’attacco.
Dopo il rilascio del 20 dicembre 2020 della patch che ha risolto le vulnerabilità associate all’exploit di dicembre, l’aggressore , per contro, ha cambiato il proprio punto di ingresso e ha utilizzato una nuova tecnica che coinvolge ServerSide Request Forgery (SSRF) (CVE-2021-27103) e OS Command Execution (CVE-2021-27102). La strategia dell’aggressore era chiara: un approccio in due fasi con la prima che mirava alle vulnerabilità nel firewall dei contenuti e, la seconda, al database in cui erano conservati i dati dei clienti.
È probabile che le tecniche di attacco utilizzate nella violazione di Accellion possono accadere di nuovo
Gli attacchi informatici odierni stanno diventando sempre più creativi, sofisticati e ben finanziati. In molti casi questi attacchi fanno parte di una strategia di Cyber Warfare dove stati nazioni contribuiscono a dar vita a questi attacchi sofisticati.
A seguito di attacchi similari, gli aggressori ora hanno le risorse per apprendere come funziona il software di un’organizzazione vittima. Possiedono le risorse per stare al passo con le tendenze e le vulnerabilità, aumentando la loro capacità di effettuare attacchi più sofisticati. Per ottenere il massimo ritorno sull’investimento, gli aggressori e i loro sponsor scelgono organizzazioni le cui applicazioni e appliance sono ampiamente utilizzate e ritenute affidabili da migliaia di clienti, come nel caso di Accellion e di altre note aziende.
Come è avvenuto per la violazione di SolarWinds del 2020, gli aggressori non hanno solo sfruttato le vulnerabilità per compromettere un sistema ma, sono stati in grado di eseguire una routine di pulizia per cancellare le prove dell’attività. Nel caso Accellion, gli aggressori si sono presi il tempo per decodificare il software della azienda vittima e per trovare il modo migliore per violare il firewall dei contenuti. Quando Accellion ha chiuso quel percorso, gli attaccanti avevano già un piano per attaccare il database interno. Attaccare un’azienda come Accellion ,che facilita il trasferimento sicuro di file, è stato particolarmente sfacciato. Ironia a parte, tutto ciò ha un senso: è molto probabile che i clienti di Accellion, che lo utilizzano per il trasferimento di file protetti, siano stati il reale bersaglio dell’attacco. Poiché, gli aggressori, sono stati anche in grado di esfiltrare i dati e usarli per tentativi di estorsione globali che probabilmente continueranno per molti mesi.
La crisi della supply chain in questo caso è stata evidente.
L’adozione di un approccio ZeroTrust ostacola questi nuovi tipi di attacchi
L’altro fatto che apprendiamo dalla violazione di Accellion è la necessità di proteggere tutti i percorsi verso i dati. Quando la protezione del firewall del contenuto non basta, è necessario disporre di una protezione interna per bloccare gli attacchi. Da quanto osservato si evince che la protezione perimetrale da anni è stata messa in crisi, ma nella situazione attuale si sono definitivamente evidenziati i limiti.
Accellion, la cui prima violazione ha risolto solo una parte del problema: . ha mitigato la prima vulnerabilità. Ma, una volta che l’aggressore ha lanciato la seconda fase della violazione ,la maggior parte dell’attacco è rimasto lo stesso. Infatti, gli aggressori hanno modificato solo il punto di ingresso fino a quando non hanno acquisito la capacità di eseguire un comando del sistema operativo. Da lì, il resto dell’attacco ha seguito lo schema del primo:hanno dovuto fare solo un primo passo diverso dal precedente. Ciò evidenzia l’importanza fondamentale per le organizzazioni di proteggere tutti i punti di accesso e, questa considerazione dovrebbe essere abbracciata come cosa ovvia.
E’ in questo spazio che entra in gioco la metodologia ZeroTrust. Dare una definizione di Zero Trustrisulta sempre essere una sfida ricca di incomprensioni.. Zero Trust non è un prodotto o una piattaforma. E’ un framework di sicurezza costruito attorno al concetto di “non fidarti mai, verifica sempre” , “presumere una violazione”.
“Zero trust” è un modello strategico coniato per la prima volta da John Kindervag di Forrester nel 2010 per descrivere la necessità di allontanare i responsabili della sicurezza da un approccio fallito, incentrato sul perimetro e, guidarli verso un modello che si basa sulla verifica continua della fiducia su ogni dispositivo, utente e applicazione. Ciò avviene passando dall’ approccio “fidati ma verifica” a “non fidarti mai / verifica sempre”. In pratica, questo modello considera tutte le risorse esterne e verifica continuamente la fiducia prima di concedere l’accesso richiesto.
Zero Trust è stato definito come un approccio alla CyberSecurity moderno ed in grado di fare fronte alle attuali reali sfide contro i criminali informatici.