Check Point scova malware che sfrutta criticità OpenDreamBox

Check Point: in luglio un malware che sfrutta la vulnerabilità

In luglio si è diffuso un malware che sfrutta una vulnerabilità di WebAdmin Plugin in OpenDreamBox 2.0.0, per Check Point sono state molte le organizzazioni colpite. La vulnerabilità, classificata all’ottavo posto tra le vulnerabilità più sfruttate, consente ai malintenzionati di eseguire comandi da remoto sulle macchine bersaglio. L’exploit è stato attivato insieme ad altri attacchi contro i dispositivi IoT - in particolare con l’esecuzione remota del codice MVPower DVR (la terza vulnerabilità più sfruttata a luglio), che è anche noto per essere legato alla famigerata botnet Mirai.

Maya Horowitz, Director Threat Intelligence & Research di Check Point
Gli attori delle minacce informatiche sono sempre pronti a sfruttare nuove vulnerabilità quando emergono, prima che le organizzazioni abbiano avuto la possibilità di correggerle, e la falla di OpenDreamBox non fa eccezione. Anche così, è sorprendente che quasi un terzo delle organizzazioni siano state colpite. Questo evidenzia quanto sia importante che le organizzazioni si proteggano installando le patch disponibili rapidamente.

In Italia, che si è posizionata al 110° posto tra i Paesi più colpiti, le famiglie di malware più diffuse sono state Ursnif, un trojan che colpisce la piattaforma Windows, XMRig, mining software open-source di CPU utilizzato per il mining della valuta criptata Monero, ed Emotet, trojan bancario avanzato, auto-propagante e modulare.

I tre malware più diffusi a luglio 2019 sono stati:
*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente
XMRig guida la classifica dei malware più diffusi, con un impatto sul 7% delle organizzazioni in tutto il mondo. Jsecoin e Dorkbot hanno avuto un impatto globale rispettivamente del 6%.

↔ XMRig - mining software open-source CPU utilizzato per il mining della valuta criptata Monero, e visto per la prima volta da maggio 2017.

↔ Jsecoin - il miner JavaScript che può essere inserito all’interno dei siti. Con JSEcoin, è possibile inserire un miner direttamentre nel browser in cambio di un’esperienza di navigazione senza annunci pubblicitari, percepiti sempre più come invasivi.

↑ Dorkbot - Dorkbot è un worm basato su IRC progettato per consentire l’esecuzione remota del codice da parte del suo operatore, così come il download di malware aggiuntivo all’interno del sistema infetto.

I tre malware per dispositivi mobili più diffusi a luglio 2019:
Lotoor è stato il malware mobile più diffuso, seguito da AndroidBauts e Piom - due nuove famiglie di malware nella lista dei principali malware mobili.

Lotoor - tecnica di hackeraggio in grado di sfruttare le vulnerabilità dei sistemi Android con lo scopo di ottenere i permessi di root sui dispositivi mobile infettati.

AndroidBauts - adware che colpisce gli utenti Android e che estrae informazioni su IMEI, IMSI, posizione GPS e altre informazioni del dispositivo e consente l’installazione di applicazioni di terze parti e shortcut su dispositivi mobili.

Piom - adware che monitora il comportamento di navigazione dell’utente e visualizza pubblicità indesiderate basate sulle attività web degli utenti.

Le tre vulnerabilità più diffuse nel mese di luglio sono state:
*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente
Le tecniche di SQL Injection continuano a essere al primo posto nella lista delle vulnerabilità più sfruttate, con un impatto sul 46% delle organizzazioni in tutto il mondo. Al secondo posto si colloca l’OpenSSL TLS DTLS DTLS Heartbeat Information Disclosure con un impatto globale del 41%, seguita da vicino dall’MVPower DVR Remote Code Execution, che ha colpito il 40% delle organizzazioni in tutto il mondo.

↔ SQL Injection (several techniques) - consiste nell’inserimento di query SQL, in input, dal client all’applicazione, sfruttando al contempo una vulnerabilità di sicurezza nel software di un’applicazione.

↔ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) - in OpenSSL esiste una vulnerabilità che diffonde informazioni a causa di un errore durante la gestione dei pacchetti TLS/DTLS heartbeat. Un aggressore può sfruttare questa vulnerabilità per rivelare il contenuto della memoria di un client o server collegato.

↑ MVPower DVR Remote Code Execution - esiste una vulnerabilità di esecuzione del codice da remoto nei dispositivi MVPower DVR. Un malintenzionato può sfruttare questa falla da remoto per eseguire codice arbitrario nel router interessato tramite una richiesta creata appositamente.