Salt Typhoon: Greenbone protegge da tutte le vulnerabilità

Il 27 agosto, oltre 20 agenzie di sicurezza internazionale hanno pubblicato un Cybersecurity Advisory dal titolo “Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System”.

 

Tra i firmatari figurano istituzioni di primo piano come:

• L’NSA, United States National Security Agency
• La CISA, United States Cybersecurity and Infrastructure Security Agency
• L’FBI, United States Federal Bureau of Investigation
• Il BND, Servizio federale di intelligence tedesco
• Il BfV, Ufficio federale tedesco per la protezione della Costituzione
• Il BSI, Ufficio federale tedesco per la sicurezza informatica

e molte altre autorità internazionali.

La situazione è decisamente complicata. Ma c’è una buona notizia: grazie ai prodotti OPENVAS, i clienti Greenbone possono rilevare tutte le vulnerabilità coinvolte in questo attacco.

1. CVE-2024-21887: Ivanti Connect Secure e Ivanti Policy Secure – vulnerabilità di command injection via web component, spesso concatenata con CVE-2023-46805 (che permette il bypass dell’autenticazione).
2. CVE-2024-3400: vulnerabilità di creazione arbitraria di file che porta a iniezione di comandi sul sistema operativo. Il CVE consente l’esecuzione di codice remoto (RCE) non autenticata sui firewall quando GlobalProtect è abilitato in versioni/configurazioni specifiche.
3. CVE-2023-20273: Cisco IOS XE (interfaccia web di gestione) – command injection post-autenticazione con escalation di privilegi [T1068], spesso concatenata con CVE-2023-20198 per accesso iniziale per ottenere l’esecuzione del codice come root.
4. CVE-2023-20198: Cisco IOS XE – bypass dell’autenticazione tramite interfaccia web.
5. CVE-2018-0171 : Cisco IOS / IOS XE – esecuzione di codice remoto.

Raccomandiamo ai nostri clienti di eseguire immediatamente una scansione completa dei propri sistemi e di installare le patch.