Ivanti Archive - Greenbone

Le minacce informatiche si stanno evolvendo rapidamente, ma le vulnerabilità sfruttate dagli attaccanti rimangono pressoché invariate. Per il 2025, molti analisti hanno fornito una retrospettiva sul 2024 e una previsione per l’anno a venire. Gli attacchi informatici diventano sempre più costosi per le aziende, ma le cause restano invariate. Il phishing [T1566] e lo sfruttamento di vulnerabilità software note [T1190] continuano a essere le principali minacce. È interessante notare che gli attaccanti stanno diventando sempre più veloci nel trasformare le informazioni pubbliche in armi, convertendo le rivelazioni di CVE (Common Vulnerabilities and Exposures) in codice exploit utilizzabile nel giro di pochi giorni o addirittura ore. Una volta penetrati nella rete di una vittima, gli aggressori eseguono i loro obiettivi con maggiore rapidità nella seconda fase, implementando il ransomware in tempi molto brevi.

In questo Threat Report, analizziamo le recenti rivelazioni sul gruppo ransomware Black Basta e le misure di protezione offerte da Greenbone. Esamineremo inoltre un rapporto di GreyNoise sullo sfruttamento di massa delle vulnerabilità, una nuova falla critica nella Zimbra Collaboration Suite e le minacce emergenti per i dispositivi di edge networking.

L’era delle tecnologie sismiche

Se le crisi di sicurezza informatica sono paragonabili a terremoti, l’ecosistema tecnologico globale rappresenta le placche tettoniche sottostanti. Questo sistema può essere efficacemente descritto come il corrispettivo informatico del periodo Paleozoico nella storia geologica terrestre. Le dinamiche competitive e le spinte innovative del mercato esercitano pressioni contrastanti sull’infrastruttura della cybersecurity, simili alle forze che portarono alla collisione dei supercontinenti di Pangea. Queste sollecitazioni continue generano “scosse” ricorrenti che provocano riassestamenti strutturali permanenti, modificando radicalmente il panorama della sicurezza digitale.

I nuovi paradigmi informatici come l’IA generativa e l’informatica quantistica offrono vantaggi significativi ma comportano anche rischi considerevoli. La corsa all’accesso ai dati personali sensibili da parte di governi e giganti tecnologici amplifica i rischi per la privacy e la sicurezza dei cittadini. L’impatto di queste lotte tecnologiche sulla sfera privata, la sicurezza e non da ultimo la società, è profondo e multiforme. Ecco alcune delle forze principali che destabilizzano attualmente la sicurezza informatica:

L’evoluzione rapida delle tecnologie guida l’innovazione e impone cambiamenti tecnologici continui.
Le aziende si trovano costrette ad adattarsi sia per la svalutazione di tecnologie e standard obsoleti, sia per mantenere la propria competitività sul mercato.
La concorrenza serrata accelera lo sviluppo dei prodotti e accorcia i cicli di rilascio.
L’obsolescenza programmata si è affermata come strategia aziendale per generare maggiori profitti.
La diffusa mancanza di responsabilità da parte dei fornitori di software ha portato a privilegiare le prestazioni rispetto al principio “Security First”.
Inoltre, gli stati nazionali impiegano tecnologie avanzate per condurre operazioni di guerra cibernetica, guerra dell’informazione e guerra elettronica.

Grazie a queste forze, i criminali informatici ben equipaggiati e organizzati trovano un numero praticamente illimitato di falle di sicurezza da sfruttare. Il Paleozoico è durato 300 milioni di anni; speriamo di non dover attendere altrettanto affinché i produttori di prodotti dimostrino responsabilità e adottino principi di progettazione sicura [1][2][3] per prevenire i cosiddetti punti deboli “imperdonabili” causati dalla negligenza [4][5]. Le aziende devono quindi sviluppare una flessibilità tecnica e implementare programmi efficienti per la gestione delle patch. Una gestione continua e prioritaria delle vulnerabilità è imprescindibile.

Greenbone contro Black Basta

I log di chat interni trapelati del gruppo ransomware Black Basta offrono uno sguardo senza precedenti sulle tattiche e i processi operativi del gruppo. La pubblicazione di questi verbali, attribuita a un individuo noto come “ExploitWhispers”, sarebbe una ritorsione contro gli attacchi controversi di Black Basta alle banche russe, che avrebbero scatenato conflitti interni al gruppo. Dall’inizio delle sue attività nell’aprile 2022, Black Basta ha dimostrato di essere un attore di spicco nel panorama del cybercrime, accumulando oltre 100 milioni di dollari in pagamenti di riscatto da più di 300 vittime a livello globale. Un’analisi approfondita dei documenti trapelati ha rivelato riferimenti a 62 CVE che illustrano le strategie del gruppo per sfruttare vulnerabilità note. Greenbone dispone di test di rilevamento per 61 di questi CVE, coprendo così il 98% delle vulnerabilità menzionate.

Il report di GreyNoise sullo sfruttamento massivo delle vulnerabilità

Gli attacchi di mass-exploitation sono operazioni automatizzate che prendono di mira i servizi di rete accessibili via Internet. Questo mese, GreyNoise ha pubblicato un rapporto dettagliato che analizza il panorama delle mass-exploitation, evidenziando i 20 principali CVE attaccati dalle botnet più estese (in termini di IP univoci) e i fornitori dei prodotti più frequentemente presi di mira. Inoltre, elenca i principali CVE inseriti nel catalogo KEV (Known Exploited Vulnerabilities) della CISA sfruttati dalle botnet Il Greenbone Enterprise Feed offre test di riconoscimento per l’86% di tutti i CVE (86 in tutto) menzionati nel report. Se si considerano solo CVE pubblicati nel 2020 o successivamente (66 in totale), il nostro Enterprise Feed ne copre il 90%.

Inoltre:

Il 60% dei CVE sfruttati negli attacchi di massa sono stati pubblicati nel 2020 o successivamente.
Gli attaccanti sono sempre più veloci nello sfruttare le nuove vulnerabilità, iniziando ad utilizzarle entro poche ore dalla loro pubblicazione.
Il 28% delle vulnerabilità presenti nel catalogo KEV della CISA viene attivamente sfruttato dai gruppi ransomware.

La Zimbra Collaboration Suite

Il CVE-2023-34192 (CVSS 9.0) è una vulnerabilità di cross-site scripting (XSS) critica nella Zimbra Collaboration Suite (ZCS) versione 8.8.15. Questa falla permette a un attaccante autenticato remoto di eseguire codice arbitrario attraverso uno script manipolato indirizzato alla funzione “/h/autoSaveDraft”. La CISA ha incluso il CVE-2023-34192 nel suo catalogo KEV, indicando che la vulnerabilità è stata attivamente sfruttata in attacchi reali. Il codice exploit PoC (Proof of Concept) è disponibile pubblicamente, rendendo possibile anche agli aggressori meno esperti di sfruttare la vulnerabilità. Fin dalla sua scoperta nel 2023, il CVE-2023-34192 ha mantenuto un punteggio EPSS molto elevato. Per i difensori che utilizzano l’EPSS (Exploit Prediction Scoring System) per prioritizzare le azioni correttive, questo implica la necessità di applicare patch con la massima urgenza.

Zimbra Collaboration Suite (ZCS) è una piattaforma open source per applicazioni da ufficio che combina e-mail, calendari, contatti, gestione delle attività e strumenti di collaborazione. Ciononostante, ZCS detiene una quota di mercato di nicchia, rappresentando meno dell’1% di tutte le piattaforme di posta elettronica e messaggistica.

Vivere sul filo del rasoio: vulnerabilità critiche nei dispositivi di rete

Nel nostro threat report mensile, abbiamo evidenziato la persistente vulnerabilità dei dispositivi di rete edge. All’inizio del mese, abbiamo documentato le gravi conseguenze derivanti dai modelli di router e firewall Zyxel giunti a fine ciclo di vita. In questa sezione, esaminiamo i nuovi rischi per la sicurezza che rientrano nella categoria “Edge Networking”. È importante sottolineare che Greenbone offre capacità di rilevamento per tutti i CVE discussi di seguito.

Hacker cinesi sfruttano PAN-OS di Palo Alto per attacchi ransomware

Il CVE-2024-0012 (CVSS 9.8), una vulnerabilità scoperta in Palo Alto PAN-OS nel novembre 2023, si è affermata come una delle più sfruttate del 2024. Fonti attendibili riportano che attori di minacce cinesi, presumibilmente supportati dal governo, stanno sfruttando questa falla per orchestrare attacchi ransomware. Recentemente, è emersa un’altra grave vulnerabilità che affligge PAN-OS: CVE-2025-0108 (CVSS 9.1). Annunciata questo mese, la CISA l’ha immediatamente classificata come attivamente sfruttata. Questa falla permette di aggirare l’autenticazione nell’interfaccia di gestione web. Particolarmente preoccupante è la possibilità di combinarla con CVE-2024-9474 (CVSS 7.2), una vulnerabilità distinta che consente l’escalation dei privilegi, consentendo a un attaccante non autenticato di ottenere il controllo completo sui file root di un dispositivo PAN-OS non aggiornato.

SonicWall corregge una vulnerabilità critica attivamente sfruttata in SonicOS

CVE-2024-53704, una vulnerabilità critica negli apparecchi SonicWall è stata recentemente inclusa nel catalogo KEV della CISA. Sorprendentemente, la CISA ha segnalato che questa è solo una delle otto vulnerabilità legate a SonicWall attivamente sfruttate negli attacchi ransomware. La nuova minaccia CVE-2024-53704 (CVSS 9.8) è una vulnerabilità creata da un meccanismo di autenticazione non pulito [CWE-287] in SSLVPN delle versioni SonicOS 7.1.1-7058 e precedenti, 7.1.2-7019 e 8.0.0-8035 di SonicWall. Consente agli aggressori di bypassare l’autenticazione e dirottare le sessioni VPN SSL attive, ottenendo potenzialmente l’accesso non autorizzato alla rete. Un’analisi tecnica completa è disponibile su BishopFox. Un Security Advisory di SonicWall menziona anche altri CVE ad alta gravità in SonicOS che sono stati patchati insieme a CVE-2024-53704.

CyberoamOS e firewall XG di Sophos a fine vita attivamente sfruttati

Il fornitore di sicurezza Sophos, che ha acquisito Cyberoam nel 2014, ha emesso un avviso e una patch per CVE-2020-29574. CyberoamOS fa parte dell’ecosistema dei prodotti Sophos. Oltre a questo CVE, anche il Sophos XG Firewall, che sta per scadere, è oggetto di un avviso di possibile sfruttamento attivo.

CVE-2020-29574 (CVSS 9.8 ): una vulnerabilità critica di SQL Injection [CWE-89] rilevata nell’interfaccia WebAdmin delle versioni CyberoamOS fino al 4 dicembre 2020. Questa falla consente agli aggressori non autenticati di eseguire da remoto istruzioni SQL arbitrarie, con la possibilità di ottenere l’accesso amministrativo completo al dispositivo. È stata rilasciata una patch hotfix che si applica anche a determinati prodotti End-of-Life (EOL) interessati.
CVE-2020-15069 (CVSS 9.8) è una vulnerabilità critica di overflow del buffer che colpisce le versioni di Sophos XG Firewall da 17.x a v17.5 MR12. Questa falla consente l’esecuzione di codice remoto (RCE) non autenticata attraverso la funzione di segnalibro HTTP/S per l’accesso clientless. Sebbene pubblicata nel 2020, la vulnerabilità è ora oggetto di sfruttamento attivo ed è stata inclusa nel catalogo KEV della CISA, indicando un incremento del rischio associato. In risposta alla scoperta della vulnerabilità nel 2020, Sophos ha prontamente emesso un avviso e rilasciato un hotfix per i firewall interessati. È importante notare che le appliance hardware della serie XG raggiungeranno la fine del loro ciclo di vita (EOL) il 31 marzo 2025.

Escalation di privilegi e bypass dell’autenticazione in Fortinet FortiOS e FortiProxy

Fortinet ha reso nota l’esistenza di due vulnerabilità critiche che interessano FortiOS e FortiProxy. In risposta il Canadian Center for Cybersecurity e il Belgian Center for Cybersecurity hanno emesso degli avvisi. Fortinet ha confermato che CVE-2024-55591 è oggetto di sfruttamento attivo e ha rilasciato una guida ufficiale contenente informazioni dettagliate sulle versioni colpite e sugli aggiornamenti raccomandati.

CVE-2024-55591 (CVSS 9.8 ): una vulnerabilità di bypass dell’autenticazione che sfrutta un percorso o canale alternativo [CWE-288] in FortiOS. Questa falla permette a un attaccante remoto di ottenere privilegi di super amministratore attraverso richieste appositamente create al modulo Node.js Websocket. La disponibilità di molteplici exploit (PoC) [1][2] incrementa significativamente il rischio di sfruttamento, rendendo la vulnerabilità accessibile anche ad aggressori con minori competenze tecniche.
CVE-2024-40591 (CVSS 8.8 ): permette a un amministratore autenticato con autorizzazioni Security Fabric di elevare i propri privilegi a super amministratore. Questo avviene collegando il dispositivo FortiGate bersaglio a un FortiGate upstream compromesso sotto il controllo dell’attaccante.

Vulnerabilità Cisco come vettori di accesso iniziale negli attacchi a Telekom

Negli ultimi mesi, il gruppo di spionaggio cinese Salt Typhoon ha regolarmente sfruttato almeno due vulnerabilità critiche nei dispositivi Cisco IOS XE per ottenere un accesso permanente alle reti di telecomunicazione. Le vittime includono ISP italiani, una società di telecomunicazioni sudafricana e una grande azienda thailandese, oltre a dodici università in tutto il mondo, tra cui l’UCLA, l’Universitas Negeri Malang indonesiana e l’UNAM messicana. In passato, Salt Typhoon aveva già preso di mira almeno nove società di telecomunicazioni statunitensi, tra cui Verizon, AT&T e Lumen Technologies. Secondo le autorità statunitensi, l’obiettivo principale del gruppo è la sorveglianza di persone di alto rango, personalità politiche e funzionari legati agli interessi politici cinesi.

I CVE sfruttati da Salt Typhoon includono:

CVE-2023-20198 (CVSS 10 ): una vulnerabilità di estensione dei privilegi nell’interfaccia web di Cisco IOS XE. Questa falla viene utilizzata per ottenere l’accesso iniziale, consentendo agli aggressori di creare un account amministratore.
CVE-2023-20273 (CVSS 7.2 ): un altro punto debole che facilita l’estensione dei privilegi. Dopo aver ottenuto l’accesso come amministratore, questa vulnerabilità viene sfruttata per ampliare l’accesso privilegiato ai file root e configurare un tunnel GRE (Generic Routing Encapsulation) per garantire una permanenza duratura nella rete.

Inoltre, nel febbraio 2025 sono stati resi noti altri due CVE nei prodotti Cisco:

CVE-2023-20118 (CVSS 7.2 ): una vulnerabilità di Command Injection nell’interfaccia di gestione basata sul web dei router Cisco Small Business consente agli aggressori autenticati e remoti di eseguire qualsiasi comando con privilegi di root inviando richieste http manipolate.
La CISA ha incluso CVE-2023-20118 nel suo catalogo RIC, suggerendo che la vulnerabilità è attivamente sfruttata.
CVE-2023-20026 (CVSS 7.2 ): una vulnerabilità di Command Injection nell’interfaccia di gestione basata sul web dei router Cisco Small Business serie RV042 consente agli aggressori remoti autenticati con credenziali amministrative valide di eseguire qualsiasi comando sul dispositivo.
La vulnerabilità è dovuta a una convalida impropria degli input dell’utente nei pacchetti http in entrata. Sebbene non sia noto che CVE-2023-20026 venga sfruttato nelle campagne attive, il Product Security Incident Response Team (PSIRT) di Cisco è a conoscenza che esiste un codice di exploit PoC per questa vulnerabilità.

Ivanti corregge quattro vulnerabilità critiche

Sono state identificate quattro vulnerabilità critiche che colpiscono Ivanti Connect Secure (ICS), Policy Secure (IPS) e Cloud Services Application (CSA). Al momento, non sono state riportate evidenze di attacchi attivi in natura o di exploit Proof of Concept. Ivanti raccomanda vivamente agli utenti di procedere immediatamente all’aggiornamento alle versioni più recenti per mitigare queste gravi falle di sicurezza.

Ecco un breve riassunto tecnico:

CVE-2025-22467 (CVSS 8.8): un overflow del buffer basato su stack [CWE-121] nelle versioni ICS antecedenti alla 22.7R2.6 permette agli aggressori autenticati di ottenere l’esecuzione di codice remoto (RCE).
CVE-2024-38657 (CVSS 9.1): un controllo esterno del nome del file nelle versioni ICS precedenti alla 22.7R2.4 e IPS precedenti alla 22.7R1.3 consente agli aggressori autenticati di scrivere file arbitrari.
CVE-2024-10644 (CVSS 9.1): una vulnerabilità di code injection in ICS (pre-22.7R2.4) e IPS (pre-22.7R1.3) permette agli amministratori autenticati di eseguire qualsiasi RCE.
CVE-2024-47908 (CVSS 7.2): una falla di Command Injection del sistema operativo [CWE-78] nella console web di amministrazione di CSA (versioni precedenti alla 5.0.5) consente agli amministratori autenticati di eseguire qualsiasi RCE.

Per riassumere

Il Threat Report di febbraio 2025 evidenzia sviluppi significativi nel panorama della cybersecurity, focalizzandosi sulle tattiche in rapida evoluzione di gruppi ransomware come Black Basta e sulla persistente minaccia critica ai dispositivi di rete edge. Potenziati da strumenti di intelligenza artificiale, gli aggressori sfruttano le vulnerabilità con crescente rapidità, talvolta entro poche ore dalla loro scoperta. Per contrastare queste minacce emergenti, le aziende devono mantenere un alto livello di vigilanza, implementando misure di sicurezza proattive, aggiornando costantemente le proprie difese e utilizzando efficacemente i dati sulle minacce per anticipare i nuovi vettori di attacco.

Contatto Prova Ora Acquista Torna alla Panoramica

Nel 2024 si stima che il è stato di 9,5 trilioni di dollari. Secondo il un singolo attacco provoca in media 4,88 milioni di dollari di danni economici alla vittima e, mentre le aziende statunitensi subiscono oltre il doppio dei danni rispetto alla media globale, le imprese italiane sono in linea con i valori medi.

In testa alla classifica dei costi, troviamo le misure per , come la risposta all’incidente, la , il ripristino dei sistemi e l’obbligo di segnalazione. Anche le possono far . Nel marzo 2024 l’azienda statunitense Change Healthcare ha che ha comportato perdite stimate intorno a 1,6 miliardi di dollari. E a questi costi potrebbero seguire delle sanzioni normative.

Questo episodio evidenzia quanto sia importante mettere in atto misure di sicurezza proattive sia per evitare che gli attacchi informatici vadano a buon fine, sia per diminuire l’impatto economico se questo dovesse succedere. Secondo i rilevamenti del Ponemon Institute, il 57% dei cyberattacchi avviene per l’assenza di patch di sicurezza. E anche se implementare misure di cybersecurity preventiva contribuisce a diminuire gli attacchi informatici, secondo IBM, gli enti e le aziende che adottano un sistema di vulnerability management proattivo basato sul rischio (RBVM) subiscono costi inferiori in caso di attacco (3,98 milioni di dollari) rispetto a quelli che non adottano queste misure (4,45 milioni di dollari), hanno carenza di personale specializzato (5,36 milioni di dollari) o non sono in regola con le normative di sicurezza informatica (5,05 milioni di dollari).

Quanto è costato a Change Healthcare l’attacco ransomware

A marzo 2024 Change Healthcare ha subito un attacco ransomware che finora ha causato all’azienda circa di danni e per quanto riguarda pagamenti legati all’assicurazione sanitaria. Change Healthcare prevede che l’incidente possa causare una perdita annuale di 1,6 miliardi di dollari. Fondata nel 2007, Change Healthcare è un’importante azienda nel settore delle tecnologie legate al settore sanitario che offre sistemi di gestione del ciclo delle entrate, precisione dei pagamenti e scambio di dati clinici in tutto il mondo. In seguito all’, l’azienda è stata valutata per 8 miliardi di dollari.

L’inchiesta sulla compliance HIPAA per Change Healthcare

Oltre al grave danno economico, l’Ufficio dei diritti civili del Dipartimento per la salute e i servizi alla persona degli Stati Uniti, l’ente responsabile dell’applicazione dell’HIPAA (Health Insurance Portability and Accountability Act, la legge su portabilità e responsabilità dell’assicurazione sanitaria), ha sull’attacco per capire se Change Healthcare ha violato i requisiti di compliance. Le regole di sicurezza HIPAA prevedono che aziende ed enti coinvolti implementino “pratiche di sicurezza riconosciute” per proteggere le informazioni sanitarie sensibili elettroniche (ePHI) da minacce alla sicurezza ragionevolmente prevedibili.

Le attività continue di vulnerability management sono un tassello essenziale di tutte le architetture di cybersicurezza moderna. Vediamo le cose in positivo: le sanzioni massime per mancata compliance HIPAA hanno un tetto di appena 2 milioni di dollari; davvero poco rispetto al costo totale di risposta e ripristino dopo questo incidente in particolare.

La piattaforma Greenbone Vulnerability Management è in grado di implementare test di compliance personalizzati per ogni framework, come CIS, DISA STIG, HIPAA. Inoltre, Greenbone è certificata per i suoi sistemi di gestione della sicurezza informatica (ISMS) (ISO 27001) e della gestione della qualità (ISO 9000) e da poco anche per la gestione ambientale (ISO-14001).

Contatto Prova Ora Acquista Torna alla Panoramica

Tag Archivio per: Ivanti

Threat Report febbraio 2025: minacce latenti