Le maggiori vulnerabilità di sicurezza del 2018

Il 2018 è stato un anno impegnativo per i professionisti IT globali. Ci sono state molte importanti vulnerabilità della sicurezza, anche legate al livello hardware, che i professionisti della sicurezza informatica devono affrontare. Ecco le quattro maggiori vulnerabilità del 2018 e come gestirle.

Spectre e Meltdown - che hanno dominato i progetti di sicurezza per tutto il 2018

Apparse per la prima volta il 4 gennaio 2018, le vulnerabilità Spectre e Meltdown consentono alle applicazioni di leggere la memoria del kernel e hanno causato seri problemi di sicurezza ai professionisti IT nel corso dei mesi dell'anno. Il problema è che questa coppia rappresenta vulnerabilità a livello hardware che possono essere mitigate, ma non possono essere risolte tramite software. Sebbene i processori Intel (ad eccezione dei chip Atom prodotti prima del 2013 e della serie Itanium) siano i più vulnerabili, sono ancora necessarie patch di microcodice anche per i processori AMD, OpenPOWER e altre CPU basate su design Arm. È anche possibile implementare alcune soluzioni software, ma spesso richiedono ai fornitori di ricompilare i propri programmi con le protezioni in atto.

La scoperta dell’esistenza di queste vulnerabilità ha suscitato un rinnovato interesse per gli attacchi side-channel che richiedono un po’ di inganno deduttivo. Mesi dopo è stata scoperta anche la vulnerabilità BranchScope. I ricercatori dietro questa scoperta hanno dimostrato che BranchScope offre la capacità di leggere i dati che dovrebbero essere protetti dall’enclave sicura SGX, oltre a sconfiggere ASLR.

In sintesi, insieme alle informazioni iniziali relative a Spectre-NG, Spectre 1.2 e SpectreRSB, sono state scoperte un totale di otto varianti della vulnerabilità Spectre, oltre ad altre vulnerabilità correlate come SgxPectre.

• Elenco dei collegamenti per il download degli aggiornamenti del BIOS per Meltdown e Spectre

Attacchi DDoS da record con memcached

Nel 2018, gli hacker hanno organizzato attacchi DDoS sfruttando le vulnerabilità di memcached, raggiungendo un livello di 1,7 Tbps. L'attacco viene avviato da un server che falsifica il proprio indirizzo IP (designando l'indirizzo del bersaglio dell'attacco come indirizzo di origine) e invia un pacchetto di richiesta di 15 byte, a cui risponde un altro host. Il server memcached è vulnerabile con risposte che vanno da Da 134KB a 750KB. La differenza dimensionale tra richiesta e risposta è oltre 51.200 volte maggiore, rendendo questo attacco particolarmente potente!

Proof of concept - un tipo di codice che può essere facilmente adattato agli attacchi è stato lanciato da vari ricercatori per far fronte a questa situazione, tra cui "Memcrashing.py", che funziona integrato con il motore di ricerca Shodan per trovare server vulnerabili dove si trova un potrebbe essere lanciato un attacco.

Fortunatamente, gli attacchi DDoS memcached possono essere prevenuti, tuttavia, gli utenti memcached dovrebbero anche modificare le impostazioni predefinite per evitare abusi sui loro sistemi. Se nel tuo sistema non viene utilizzato UDP , puoi disabilitare questa funzionalità con l'opzione -U 0. Altrimenti, è anche consigliabile limitare l'accesso a localhost con l'opzione -listen 127.0.0.1.

La vulnerabilità di Drupal CMS consente agli aggressori di controllare il tuo sito web

Entro la fine di marzo dovevano essere rilasciate le patch di emergenza per 1,1 milioni di siti Drupal. La vulnerabilità è legata a un conflitto tra il modo in cui PHP gestisce gli array nei parametri URL e l'uso delle funzioni hash. Drupal (#) all'inizio dell'array le chiavi per denotare chiavi speciali spesso comportano calcoli aggiuntivi, che possono consentire agli aggressori di "iniettare" codice arbitrariamente. L'attacco è stato soprannominato "Drupalgeddon 2: Electric Hashaloo" da Scott Arciszewski della Paragon Initiative.

Ad aprile, i problemi relativi a questa vulnerabilità sono stati risolti una seconda volta, mirando alla capacità di gestire gli URL dei parametri GET per rimuovere il simbolo #, che potrebbe causare una vulnerabilità legata all'esecuzione di codice in modalità remota.

Anche se la vulnerabilità è stata segnalata pubblicamente, sono stati colpiti più di 115.000 siti Drupal e molte botnet hanno sfruttato attivamente la vulnerabilità per distribuire software di crittografia dannoso.

Gli attacchi BGP bloccano i server DNS per rubare indirizzi

Si prevede che il Border Gateway Protocol (BGP), lo “strumento” utilizzato per determinare il percorso più efficiente tra due sistemi su Internet, diventi un bersaglio per gli autori malintenzionati in futuro perché il protocollo è stato progettato in gran parte prima che i problemi di rete dannosi fossero attentamente considerati . Non esiste un'autorità centralizzata per i percorsi BGP e i percorsi sono accettati a livello di ISP, ponendoli fuori dalla portata dei tipici modelli di distribuzione su scala aziendale e allo stesso tempo fuori dalla portata dell'utente.

Ad aprile è stato condotto un attacco BGP contro Amazon Route 53, il componente del servizio DNS di AWS. Secondo il team Internet Intelligence di Oracle, l'attacco ha avuto origine da un hardware situato in una struttura gestita da eNet (AS10297) a Columbus, Ohio, USA. Gli aggressori hanno reindirizzato le richieste di MyEtherWallet.com a un server in Russia, che ha utilizzato un sito Web di phishing per copiare le informazioni dell'account leggendo i cookie esistenti. Gli hacker hanno guadagnato 215 Ether da questo attacco, equivalenti a circa 160.000 dollari.

In alcuni casi il BGP è stato abusato anche da parte di attori statali. Nel novembre 2018, i rapporti hanno indicato che diverse organizzazioni in Iran hanno utilizzato attacchi BGP nel tentativo di bloccare il traffico di Telegram verso il paese. Inoltre, la Cina è stata anche accusata di utilizzare attacchi BGP attraverso punti di presenza in Nord America, Europa e Asia.

Il lavoro per proteggere BGP da questi attacchi è stato intrapreso dal NIST e dalla direzione scientifica e tecnologica del DHS, in collaborazione con Secure Inter-Domain Routing (SIDR), che mira a eseguire "l'autenticazione dell'origine del percorso BGP (BGP Route Origin Validation) utilizzando Resource Infrastruttura a chiave pubblica.

Vedi altro:

• Le 3 principali sfide per la sicurezza multicloud e come costruire una strategia
• Come verificare se una rete di computer è sicura
• Come sapere se qualcuno ha avuto accesso e ha utilizzato il tuo computer?
• I 10 migliori software Keylogger gratuiti per Windows