Gli hacker cinesi stanno prendendo di mira le agenzie governative statunitensi e le organizzazioni private sfruttando i difetti di Citrix, F5 e Exchange
Una dichiarazione congiunta dell’FBI e della CyberSecurity and Infrastructure Agency (CISA) afferma che esistono alcune vulnerabilità nei server e nei dispositivi Citrix, F5, Pulse e Microsoft Exchange che vengono sfruttati da hacker sponsorizzati dalla Cina.
La dichiarazione afferma che gli attori malintenzionati stanno prendendo di mira il governo degli Stati Uniti e le società private con l’obiettivo di esporre pubblicamente i dispositivi vulnerabili con il motore dei dispositivi Internet shodan o un database di vulnerabilità come il National Vulnerabilities Database e Common Vulnerabilities and Exposure.
Ecco cosa hanno spiegato il CISA insieme all’FBI:
“Secondo un recente atto d’accusa del Dipartimento di Giustizia degli Stati Uniti, gli attori affiliati alla MSS hanno preso di mira varie industrie negli Stati Uniti e in altri paesi, compresa la produzione high-tech; dispositivi medici, ingegneria civile e industriale; software aziendale, educativo e per giochi; energia solare; prodotti farmaceutici; e difesa, in una campagna che è durata oltre dieci anni. Questi hacker hanno agito sia per il proprio guadagno personale che per il vantaggio degli MSS cinesi “.
CISA è il National risk advisor. Mira a difendere gli Stati Uniti dalle minacce odierne. Collabora con i loro partner per fornire un’infrastruttura più sicura e resiliente per la funzionalità. La data di costituzione della CISA è il 16 novembre 2018.
I difetti evidenti, secondo l’agenzia, sono:
- CVE-2020-0688: viene rilevato in modo vulnerabile su Microsoft Exchange Server. Gli hacker possono utilizzare questo difetto per abilitare la raccolta della posta delle reti mirate
- CVE-2020-5902: vulnerabilità in F5 Big-IP. Gli hacker possono sfruttare questa vulnerabilità per creare, eseguire comandi di sistema arbitrari, eliminare o creare file, eseguire codice Java e / o disabilitare servizi
- CVE-2019-11510: questa vulnerabilità nel codice remoto di Pulse Secure VPN che consente agli aggressori di accedere alle reti delle vittime.
- CVE-2019-19781: in Citrix VPN directory traversal hole consente agli hacker di eseguire attacchi directory traversal
Poiché i fornitori applicano già le patch a ciascuna di queste vulnerabilità, le aziende private e le agenzie governative possono ora proteggere le loro reti se implementano gli ultimi aggiornamenti di sicurezza.
Gli hacker dalla Cina sono sempre alla ricerca di punti deboli da utilizzare. Ad esempio, prendono di mira server con buchi nelle loro app web su misura. Abusano dei bug disponibili e di altre opportunità per raggiungere i dati. Qual è la raccomandazione di FBI e CISA “le organizzazioni verificano regolarmente la configurazione e i programmi di gestione delle patch per assicurarsi di poter monitorare e mitigare le minacce emergenti. L’implementazione di una configurazione rigorosa e di un programma di gestione delle patch ostacolerà le operazioni degli attori delle minacce informatiche sofisticate e proteggerà le risorse e i sistemi informativi delle organizzazioni “.
Pertanto, le organizzazioni private e le agenzie governative dovrebbero richiedere la patch dei loro programmi e provare il rilevamento delle intrusioni.