Nel panorama sempre più complesso della sicurezza informatica, un nuovo attacco è emerso, mirato ai dispositivi di rete prodotti da aziende rinomate come Cisco, ASUS, QNAP e Synology. Questo malware, noto come PolarEdge, sfrutta vulnerabilità note per compromettere e integrare questi dispositivi in una botnet globale. La minaccia è stata individuata per la prima volta a fine 2023, e da allora ha continuato a espandersi, coinvolgendo migliaia di dispositivi.

Vulnerabilità sfruttata

La vulnerabilità principale sfruttata da PolarEdge è la CVE-2023-20118, una falla critica nei router Cisco Small Business che permette l'esecuzione arbitraria di comandi. Purtroppo, questi dispositivi hanno raggiunto lo status di fine vita (EoL), il che implica che non riceveranno più aggiornamenti di sicurezza da parte di Cisco. A causa di questa situazione, la società ha consigliato di mitigare il rischio disabilitando la gestione remota e bloccando l'accesso ad alcune porte specifiche.

Metodo di attacco

Durante gli attacchi registrati, la vulnerabilità viene utilizzata per introdurre un backdoor TLS sui dispositivi compromessi, permettendo agli aggressori di eseguire comandi e mantenere un accesso persistente. Questa backdoor è distribuita tramite un payload malevolo, insieme a script che si occupano di nascondere i tracciati e terminare processi sospetti.

Caratteristiche di PolarEdge

Il malware PolarEdge si distingue per la sua abilità di stabilire una connessione TLS con il server di comando e controllo (C2), permettendo agli aggressori di identificare i dispositivi infetti tramite l'indirizzo IP e la porta usata. Questo suggerisce che PolarEdge sia una minaccia ben coordinata e sofisticata, potenzialmente orchestrata da operatori esperti.

Impatto globale

In tutto il mondo, si stima che PolarEdge abbia compromesso oltre 2.017 indirizzi IP unici, con una prevalenza di infezioni negli Stati Uniti, Taiwan, Russia, India, Brasile, Australia e Argentina. Tuttavia, l'obiettivo finale di questa botnet non è ancora chiaro. I ricercatori ipotizzano che potrebbe essere utilizzata per trasformare i dispositivi compromessi in punti di rilancio per attacchi informatici più ampi.

Altre minacce

Questa scoperta arriva mentre un'altra botnet, composta da oltre 130.000 dispositivi infetti, viene utilizzata per attacchi di password spraying su larga scala contro account Microsoft 365. Questi attacchi sfruttano l'autenticazione non interattiva, bypassando le misure di sicurezza moderne e creando un serio punto cieco per i team di sicurezza.

L'emergere di PolarEdge sottolinea l'importanza di mantenere aggiornati i dispositivi di rete e di adottare pratiche di sicurezza proattive per proteggere le infrastrutture critiche dalle sempre più avanzate minacce informatiche.