CMS vulnerabili presi di mira dalla botnet GoBrut

20/08/2019

Drupal Joomla Magento wordpress

Gli ultimi mesi del 2019 sono stati caratterizzati da incrementi sostanziali nel numero di attacchi informatici registrati ai danni dei CMS open source più famosi (WordPress, Drupal e Joomla) da parte di GoBrut, una botnet attiva dall’inizio di quest’anno. Come evidenziato da un articolo sul blog di Yoroi, l’infrastruttura della botnet è stata recentemente aggiornata alla v. 3.06. La versione in questione risulta sviluppata per colpire anche i sistemi Linux e include al suo interno StealthWorker, un modulo di brute forcing in grado rubare dati sensibili, come credenziali di accesso al sito e dati delle carte di credito.

Come mostrato in figura, GoBrut ha incrementato il numero di target compromessi tra febbraio ed agosto 2019. Ciò fa pensare che la botnet stia ottenendo sempre più successo nella sua capacità di infettare e “reclutare” nuove vittime. Per quanto riguarda l’Italia, risultano coinvolti 4600 TLD italiani, la maggior parte di essi sono piccole e medie aziende, studi legali, associazioni no profit.

Funzionamento della botnet

GoBrut esegue un bruteforce sui server che eseguono Content Management Systems (CMS) e servizi come SSH e MySQL. Una volta infetto, l’host si unisce alla botnet GoBrut e comunica con il C2 (Command and Control). Ricevuta la risposta dal C2, ovvero la lista degli target da attaccare in formato JSON, l’host infetto procederà a eseguire gli attacchi di brute force sugli obiettivi predefiniti. Questa botnet è stata associata a Magecart, un gruppo specializzato in questo genere di operazioni e che ha più volte fatto parlare di sé in passato per aver colpito piattaforme di vendita online.

Perché il linguaggio GoLang

GoBrut è un malware scritto in Golang un linguaggio di programmazione open source sviluppato da Google nel 2007. Come riportato dall’analisi di Palo Alto, questo linguaggio è presente in 53 famiglie di malware, tra cui Velo (47%), GoBot2 (12,8%) e GoBrut (2,1%).  Ma perché Golang? Essendo un linguaggio multipiattaforma,  i malintenzionati possono compilare lo stesso codice per sistemi diversi, tra cui Windows, macOS e Linux, risparmiando così tempo e risorse umane. Lo stesso codice può quindi essere sfruttato per infettare le vittime su molteplici piattaforme. Altra caratteristica di Go riguarda la dimensione dei suoi eseguibili: un binario mediamente si attesta sui 4.65 MB, quindi generalmente molto più grande di un classico malware. Questo comporta in effetti delle limitazioni nella sua diffusione (ad esempio è più difficile allegarlo a una mail di phishing a causa del blocco sulle dimensione da parte del serve di posta), ma permette in certi casi di eludere il controllo degli antivirus che proprio a causa della dimensione elevata degli allegati possono, se previsto, ignorarne la scansione.

Le vulnerabilità sfruttate da GoBrut

Ad aprile 2019, un’analisi di AlertLogic, effettuata su un campione di 11.788 host della botnet, oltre a confermare la presenza di software tra cui CMS, Databases (MySQL, Postgres), Tools di amministrazione (SSH, FTP, cPanel, PhpMyAdmin, webhostmanagement), metteva in luce la presenza delle porte principali utilizzate e le vulnerabilità sfruttabili che sono di seguito rappresentate:

Principali vulnerabilità:

  • CVE-2018-15473, è una vulnerabilità di OpenSSH (fino alle versioni 7.7) che consente l’enumerazione degli utenti e quindi facilita l’attività di brute force dell’attaccante che deve solo concentrarsi sulle password.
  • CVE-2017-5487, è una vulnerabilità nell’implementazione delle API di WordPress (versioni inferiori alla 4.7.1) causata da una non corretta gestione degli accessi ai post degli autori. Questo bug consente ad un attaccante di accedere remotamente a informazioni sensibili attraverso una richiesta wp-json/wp/v2/users.

Conclusioni

Le vulnerabilità nei sistemi di gestione dei contenuti (CMS) come WordPress, Joomla, Magento, Drupal, così come in vari plugin, sono comunemente sfruttati. La botnet GoBrut prende di mira proprio i CMS e sfrutta le loro vulnerabilità per la diffusione della minaccia. Nonostante l’obiettivo principale del gruppo criminale sia chiaramente di ordine finanziario, non è escluso che una diffusione di tale minaccia possa manifestarsi anche su target appartenenti ad organizzazioni pubbliche che solitamente utilizzano i CMS open source più diffusi per la gestione dei loro siti web.

A tal proposito il CERT-PA raccomanda agli amministratori di sistema di applicare il controllo degli accessi ai servizi web / database / SSH / FTP e utilizzare password robuste per evitare attacchi di forza bruta. Inoltre raccomanda di mantenere sempre aggiornati i siti web istituzionali effettuando gli opportuni aggiornamenti di sicurezza dei Content Management System (es. Joomla, Drupal, WordPress) e dei relativi plug-in associati, così come descritto nei Suggerimenti per la sicurezza dei siti web.