Il Team CYBEROO CERT (Computer Emergency Response Team) ha rilevato una vulnerabilità 0-day relativa a un software di ManageEngine.
Com’è andata? Ma prima di tutto: chi è il Team CYBEROO CERT?
Il CYBEROO CERT è il team di lavoro responsabile della raccolta e gestione delle segnalazioni relative a incidenti informatici a livello nazionale e internazionale e dell’identificazione di vulnerabilità su qualunque tipologia di sistema IT. Si occupa di coordinare e centralizzare tali segnalazioni e identificazioni, valutando attentamente ciascuna di esse per garantire una risposta tempestiva ed efficace, volta a favorire l’innalzamento dei livelli di sicurezza e della consapevolezza nell’ambito cybersecurity.
Durante lo svolgimento delle mansioni classiche, gli specialisti del Team CYBEROO CERT hanno rilevato una vulnerabilità 0-day relativa a un software di ManageEngine, società indiana che sviluppa e vende soluzioni di IT Management. La vulnerabilità è stata prontamente segnalata al produttore, che l’ha analizzata, confermata, e risolta con una patch successiva.
In questo articolo ti raccontiamo com’è andata nel dettaglio e come Cyberoo è riuscita a salvaguardare migliaia di aziende, evitando danni da milioni di dollari.
La segnalazione
Il tutto inizia da un attacco informatico subìto da un’azienda che si è rivolta a Cyberoo per accordare in tempi strettissimi la necessaria attività di Incident Response. Il nostro IRT (Incident Response Team) ha prontamente risposto all’incidente e iniziato in primo luogo le attività di investigazione, per capire da dove provenisse.
Le aziende non sono isole. Ogni singolo fornitore o, più in generale, stakeholder può rappresentare una porta di ingresso per un attore malevolo. Per questo, l’IRT ha analizzato tutti i possibili vettori di attacco, i punti sui quali l’attaccante potesse accedere ai sistemi. Tra questi, il software ADSelfService Plus di Manage Engine. L’azienda dispone ed offre ai propri clienti un exploit detection tool, un tool atto a verificare la presenza o meno di una specifica vulnerabilità sul tool ADSelfService Plus. La vulnerabilità oggetto di controllo da parte di questo software è quella identificata dalla CVE: CVE-2021-40539.
L’analisi
Durante le valutazioni di sicurezza si è scoperta una discrepanza significativa tra i risultati della valutazione delle vulnerabilità forniti dallo strumento e la vulnerabilità effettiva presente nel software. Nonostante lo strumento di verifica confermasse che la versione del software non era vulnerabile, è stato dimostrato con successo che il software poteva essere compromesso attraverso quella vulnerabilità specifica.
La vulnerabilità in questione riguardava la versione 6.1 del software ADSelfService Plus. I test e le analisi approfondite dell’IRT hanno rivelato che non solo questa vulnerabilità poteva essere sfruttata, ma che l’impatto sul software era, come da descrizione CVE, di livello Critico, mettendo l’attaccante nella condizione di poter compromettere completamente il sistema.
Quali rischi? La gravità degli 0-day
Dobbiamo considerare che, nonostante la già importante gravità della vulnerabilità, il pericolo maggiore in questo scenario consisteva nel fatto che gli utenti utilizzatori del software erano portati a credere, erroneamente, che i loro sistemi fossero sicuri quando, in realtà, erano affetti da una grave vulnerabilità.
L’errata convinzione da parte delle aziende utilizzatrici di questo sistema di essere al sicuro avrebbe potuto portare gli attaccanti ad agire indisturbati permettendo loro di compromettere tutte le aziende utilizzatrici del prodotto.
La risposta
Il Team CYBEROO CERT ha quindi prontamente contattato l’azienda, fornendo loro dettagli e un video POC della problematica identificata. In questo modo, la vulnerabilità è stata tempestivamente risolta e ancora una volta la postura di sicurezza aziendale è stata ripristinata. Superheroes are always ready for action!
