Gamaredon APT

Le tensioni nell’ est Europa si fanno sentire anche su un piano cibernetico. Difatti molti ricercatori hanno trovato IOC specifici e riconducibili al noto gruppo.

ID  G0047
CVSS  9
Exploitation vector Network 

“Gamaredon Group is a threat group that has been active since at least 2013 and has targeted individuals likely involved in the Ukrainian government. The name Gamaredon Group comes from a misspelling of the word “Armageddon”, which was detected in the adversary’s early campaigns.
Attack MITRE  – Group

Abbiamo inserito diversi IOC negli aggiornamenti di LECS per riconoscere le firme di questo gruppo APT.


Cisco SD-WAN vManage

Classificazione:

CVE-ID CVE-2020-26073
CVSS Reserved (NIST)
Exploitation vector Network 

Cisco SD-WAN vManage Software potrebbe consentire a un utente malintenzionato remoto di attraversare le directory del sistema, a causa di una convalida impropria della richiesta dell’utente alle interfacce programmatiche delle applicazioni (API). Un utente malintenzionato potrebbe inviare una richiesta URL appositamente elaborata contenente sequenze di “dot dot” (/../) per ottenere l’accesso a informazioni sensibili.

In questi casi specifici il device LECS riconosce i tentativi di sfruttamento di questa pericolosa minaccia impedendo e bloccando che l’exploit vada a segno.


Microsoft Exchange Server OWA GetWacUrl

“Microsoft Exchange Server è un software di rete per consentire la collaborazione in linea tra vari utenti di un’organizzazione (impresa, ente, ecc.). È stato introdotto sul mercato da Microsoft nel 1996 come diretto concorrente di programmi quali Lotus Notes/Domino server di IBM e FirstClass Suite di OpenText. Il suo uso è molto diffuso nelle realtà aziendali in cui sono implementate infrastrutture informatiche basate su prodotti e tecnologie Microsoft (reti Microsoft).”  – Wikipedia

CVE-ID CVE-2020-17143
CVSS 8.8
Exploitation vector Network

Attualmente non sono presenti dal portale Microsoft exploit specifici.
In ogni caso il device LECS risponde a questa CVE, riconoscendola ed intervenendo di conseguenza per proteggere la rete, in quanto è sintomo di una possibile compromissione in corso.


 

LECS SOC Team