Allerta KEV Multi-Vendor: Vulnerabilità Critiche Minacciano Infrastrutture IT Italiane

MST Management ha analizzato un insieme di vulnerabilità critiche presenti nel catalogo CISA KEV (Known Exploited Vulnerabilities), che interessano soluzioni pervasive in diversi settori chiave per l'Italia, quali Pubblica Amministrazione, finanza, sanità e infrastrutture OT. Queste vulnerabilità, pur coprendo un arco temporale ampio, continuano a rappresentare un rischio concreto a causa della loro natura (iniezione di shell, esecuzione di codice remoto, divulgazione di informazioni sensibili) e della frequente assenza di patch in molti contesti legacy. La presente analisi mira a fornire ai CISO e SOC Manager italiani una guida pragmatica per identificare e mitigare l'esposizione.

Cosa è successo

Sono state identificate e analizzate otto vulnerabilità distinte, tutte categorizzate come HIGH dal CISA KEV, implicando che sono attivamente sfruttate da attori malevoli. Le vulnerabilità riguardano prodotti di diversi vendor:

• SaltStack Salt (CVE-2020-16846): Una vulnerabilità di shell injection che permette a utenti non autenticati con accesso alla Salt API di eseguire codice arbitrario via SSH.
• SAP NetWeaver (CVE-2016-9563): Una vulnerabilità XXE (XML External Entity) in SAP NetWeaver Application Server Java Platforms, che consente ad utenti autenticati di condurre attacchi XXE.
• Roundcube Webmail (CVE-2017-16651): Una falla di divulgazione di file dovuta a insufficiente validazione dell'input in Roundcube Webmail, spesso sfruttata tramite plugin di allegati basati su file.
• Tenda AC7, AC9, e AC10 Routers (CVE-2018-14558): Una vulnerabilità di command injection nei router Tenda, che consente l'esecuzione di comandi OS tramite richieste manipolate alla funzione formsetUsbUnload.
• Ivanti Pulse Connect Secure (CVE-2020-8260): Una vulnerabilità in Pulse Connect Secure che permette l'esecuzione di codice tramite estrazione gzip non controllata da parte di un attaccante autenticato.
• Trend Micro Apex One, Apex One as a Service, Worry-Free Business Security (CVE-2021-36741): Una vulnerabilità di input validation impropria che consente a un attaccante remoto di caricare file sui sistemi Trend Micro.
• Progress Telerik UI for ASP.NET AJAX e Sitefinity (CVE-2017-9248): Una debolezza crittografica in Telerik.Web.UI.dll che può portare alla divulgazione di chiavi di cifratura, attacchi XSS, compromissione di ViewState e upload/download di file.
• Realtek AP-Router SDK (CVE-2021-35395): Un buffer overflow nel web server HTTP boa di Realtek AP-Router SDK, che può causare Denial-of-Service (DoS) a causa di copie insicure di parametri troppo lunghi.

Perché conta

La presenza di queste vulnerabilità nel catalogo CISA KEV indica che esse non sono solo potenziali minacce, ma sono attivamente sfruttate nel mondo reale. Molte di queste si trovano in prodotti ampiamente utilizzati in contesti enterprise e anche in ambienti OT e critical infrastructure (SaltStack, SAP, Ivanti, Tenda, Realtek). Lo sfruttamento di tali falle può portare a conseguenze gravi quali:

• Accesso non autorizzato e persistenza: Esecuzione di codice arbitrario e shell injection possono fornire agli attaccanti un punto d'appoggio iniziale e persistenza all'interno delle reti target.
• Divulgazione di dati sensibili: Le vulnerabilità di file disclosure o quelle che espongono chiavi crittografiche possono portare alla compromissione di dati riservati, con gravi implicazioni a livello di conformità (es. GDPR) e reputazione.
• Impatto operativo e DoS: I buffer overflow, come quello di Realtek, possono causare interruzioni di servizio, particolarmente critiche per infrastrutture OT e servizi essenziali.
• Lateral Movement e Privilege Escalation: Una volta ottenuto un primo accesso, gli attaccanti possono sfruttare queste vulnerabilità per muoversi lateralmente nella rete e ampliare il loro livello di privilegio.

Impatto stimato in Italia

L'Italia, con la sua estesa infrastruttura di PA, un settore finanziario robusto e un sistema sanitario complesso, è particolarmente esposta a queste vulnerabilità. Molte organizzazioni in questi settori si affidano a sistemi legacy o non hanno processi di patching sufficientemente reattivi. Software come SAP e SaltStack sono pilastri di molte architetture IT complesse, mentre soluzioni come Roundcube e i firmware di router Tenda/Realtek sono spesso presenti in reti di dimensioni diverse. Una compromissione in uno di questi punti può avere effetti a cascata, con ricadute significative su:

• PA: Interruzione di servizi critici, compromissione di dati personali dei cittadini, fermo amministrativo.
• Finanza: Breaching di dati finanziari, interruzione di servizi bancari online, frodi.
• Sanità: Accesso a cartelle cliniche, blocco di sistemi operativi ospedalieri, compromissione della continuità assistenziale.
• OT: Rischio di manipolazione o blocco di processi industriali critici, con potenziali danni fisici e ambientali.

Azioni consigliate

Per mitigare l'esposizione a queste vulnerabilità, si raccomandano le seguenti azioni strategiche e operative:

1. Inventario e Valutazione: Identificare tutte le istanze dei prodotti SaltStack, SAP NetWeaver, Roundcube Webmail, router Tenda (AC7, AC9, AC10), Ivanti Pulse Connect Secure, Trend Micro Apex One/Worry-Free Business Security, Progress Telerik UI per ASP.NET AJAX/Sitefinity e dispositivi con Realtek AP-Router SDK all'interno della propria infrastruttura.
2. Patch Management Urgente: Applicare immediatamente tutte le patch di sicurezza disponibili fornite dai rispettivi vendor per le CVE elencate. Dare priorità a quelle esposte direttamente su internet o presenti in segmenti di rete critici.
3. Configurazione Sicura: Rivedere le configurazioni di tutti i sistemi coinvolti, assicurandosi che vengano seguite le best practice di hardening e che funzionalità potenzialmente insicure siano disabilitate se non strettamente necessarie (es. disabilitare plugin non essenziali in Roundcube, configurare correttamente l'accesso alla Salt API).
4. Monitoraggio e Rilevamento: Implementare o rafforzare il monitoraggio del traffico di rete e dei log di sistema per rilevare tentativi di sfruttamento. Prestare attenzione a pattern anomali di accesso, esecuzione di comandi insoliti o attività di caricamento file inattese.
5. Segmentazione di Rete: Isolare i sistemi critici e quelli potenzialmente vulnerabili attraverso una segmentazione di rete rigorosa, riducendo le possibilità di lateral movement in caso di compromissione.
6. Formazione e Consapevolezza: Sensibilizzare gli operatori IT e gli utenti su queste minacce e sulle procedure di sicurezza.
7. Piano di Risposta agli Incidenti: Esercitare regolarmente i piani di risposta agli incidenti per essere pronti a gestire rapidamente un'eventuale compromissione.

Riferimenti

• CVE-2020-16846 - SaltStack Salt Shell Injection Vulnerability
• CVE-2016-9563 - SAP NetWeaver XML External Entity (XXE) Vulnerability
• CVE-2017-16651 - Roundcube Webmail File Disclosure Vulnerability
• CVE-2018-14558 - Tenda AC7, AC9, and AC10 Routers Command Injection Vulnerability
• CVE-2020-8260 - Ivanti Pulse Connect Secure Code Execution Vulnerability
• CVE-2021-36741 - Trend Micro Multiple Products Improper Input Validation Vulnerability
• CVE-2017-9248 - Progress Telerik UI for ASP.NET AJAX and Sitefinity Cryptographic Weakness Vulnerability
• CVE-2021-35395 - Realtek AP-Router SDK Buffer Overflow Vulnerability