I ricercatori di Recorded Future hanno individuato nuovi attacchi effettuati dal gruppo cinese Salt Typhoon contro aziende di telecomunicazioni (si aggiungono alle nove statunitensi). Sfruttando due vulnerabilità presenti nei router Cisco, i cybercriminali hanno colpito cinque ISP nel mondo. Stavolta sono state prese di mira anche università che si occupano di ricerca in telecomunicazioni, ingegneria e tecnologia.
Cisco ha risolto le vulnerabilità nel 2023
Il gruppo Salt Typhoon (chiamato RedMike da Recorded Future) ha sfruttato le vulnerabilità CVE-2023-20198 e CVE-2023-20273 presenti nel software Cisco IOS XE dei router del produttore californiano. Una scansione online ha permesso di individuare oltre 12.000 dispositivi non aggiornati. I cybercriminali hanno tentato di accedere a circa 1.000 router tra dicembre 2024 e gennaio 2025.
La vulnerabilità CVE-2023-20198 consente di ottenere l’accesso all’interfaccia web di Cisco IOS XE e creare un nuovo utente tramite username e password. Sfruttando successivamente la vulnerabilità CVE-2023-20273 è possibile elevare i privilegi dell’utente locale a root e quindi modificare il file system ed eseguire comandi.
I cybercriminali hanno configurato un tunnel GRE (Generic Routing Encapsulation) tra i router e la loro infrastruttura per ottenere la persistenza, aggirare le protezioni (firewall e intrusion detection system) e rubare dati. Tra i router interessati all’attacco ci sono quelli di 13 università e cinque ISP (Internet Service Provider) in Italia, Regno Unito, Stati Uniti, Thailandia e Sud Africa.
Cisco ha rilasciato l’aggiornamento software a metà ottobre 2023 per risolvere le due vulnerabilità. Purtroppo molti clienti non hanno applicato le patch e l’interfaccia web dei router è facilmente accessibile da Internet.
Ti potrebbe interessare
16 feb 2025