CISA avverte: "gli hacker sfruttano una vulnerabilità nota nel software Netwrix Auditor"

L'Agenzia per la sicurezza informatica del governo statunitense, CISA, ha lanciato un avviso riguardo a un noto exploit che sta causando un aumento delle violazioni informatiche negli Stati Uniti e in Canada. L'allarme riguarda la vulnerabilità del software Netwrix Auditor, che i cybercriminali stanno sfruttando per infiltrarsi nelle organizzazioni. Secondo un avviso congiunto rilasciato dalla CISA in collaborazione con l'FBI e partner canadesi, l'exploit viene usato per diffondere il malevolo malware Truebot.

La scoperta della vulnerabilità e le misure correttive

Il bug incriminato, identificato come CVE-2022-31199, fu individuato dagli esperti di Bishop Fox esattamente un anno fa. In quel momento, gli esperti avvertirono che l'exploit avrebbe potuto permettere agli hacker dieseguire arbitrariamente codici nelle macchine su cui era installato Netwrix Auditor. A causa del fatto che tipicamente questo servizio viene eseguito con privilegi estesi all'interno di un ambiente Active Directory, l'attaccante avrebbe presumibilmente potuto compromettere l'intero dominio Active Directory. Netwrix, che vanta più di 11.500 clienti in tutto il mondo, ha da allora rilasciato la versione 10.5 del suo Auditor, correggendo le vulnerabilità note.

Il malware Truebot sfrutta le falle

Un anno dopo la scoperta della vulnerabilità, CISA e i suoi partner di forza dell'ordine riportano che i malintenzionati stanno sfruttando questa vulnerabilità di Netwrix Auditor per distribuire nuove varianti del malware Truebot. Gli attacchi mirano a raccogliere ed esfiltrare informazioni da organizzazioni statunitensi e canadesi. La conferma dell'uso del malware proviene sia dai resoconti di open-source chedall'analisi delle varianti di Truebot. Le campagne di phishing tramite le quali viene veicolato il malware si basano su link ipertestuali maligni che reindirizzano le vittime.

Raccomandazioni sulla sicurezza informatica e misure preventive

Le agenzie hanno condiviso un documento tecnico dettagliato che include IOCs (indicatori di compromissione) ed ulteriori dati utili. Tale documento dovrebbe aiutare i difensori ad individuare possibili segni di compromissione e spingere gli amministratori di sistema a mantenere un'ottima igiene di sicurezza. Oltre ad applicare tutte le patch disponibili, CISA raccomanda alle organizzazioni di ridurre la minaccia degli attori malevoli che sfruttano strumenti di accesso remoto. Tra le misure suggerite troviamo l'implementazione di controlli applicativi per gestire e controllare l'esecuzione del software, l'uso ristretto di RDP (Protocollo Desktop Remoto) ealtri servizi di desktop remoto, e l'applicazione di rigorose best-practice per l'audit di rete per i sistemi che utilizzano RDP. Viene inoltre consigliato l'uso di tecnologie di autenticazione a più fattori (MFA) resistenti al phishing. Le organizzazioni, dunque, dovrebbero attuare misure preventive per garantire la sicurezza dei propri dati, specialmente in un'epoca in cui le minacce cybernetiche sono in costante aumento.