Gamaredon APT
Le tensioni nell’ est Europa si fanno sentire anche su un piano cibernetico. Difatti molti ricercatori hanno trovato IOC specifici e riconducibili al noto gruppo.
ID | G0047 |
CVSS | 9 |
Exploitation vector | Network |
“Gamaredon Group is a threat group that has been active since at least 2013 and has targeted individuals likely involved in the Ukrainian government. The name Gamaredon Group comes from a misspelling of the word “Armageddon”, which was detected in the adversary’s early campaigns.“
– Attack MITRE – Group
Abbiamo inserito diversi IOC negli aggiornamenti di LECS per riconoscere le firme di questo gruppo APT.
Cisco SD-WAN vManage
Classificazione:
CVE-ID | CVE-2020-26073 |
CVSS | Reserved (NIST) |
Exploitation vector | Network |
Cisco SD-WAN vManage Software potrebbe consentire a un utente malintenzionato remoto di attraversare le directory del sistema, a causa di una convalida impropria della richiesta dell’utente alle interfacce programmatiche delle applicazioni (API). Un utente malintenzionato potrebbe inviare una richiesta URL appositamente elaborata contenente sequenze di “dot dot” (/../) per ottenere l’accesso a informazioni sensibili.
In questi casi specifici il device LECS riconosce i tentativi di sfruttamento di questa pericolosa minaccia impedendo e bloccando che l’exploit vada a segno.
Microsoft Exchange Server OWA GetWacUrl
“Microsoft Exchange Server è un software di rete per consentire la collaborazione in linea tra vari utenti di un’organizzazione (impresa, ente, ecc.). È stato introdotto sul mercato da Microsoft nel 1996 come diretto concorrente di programmi quali Lotus Notes/Domino server di IBM e FirstClass Suite di OpenText. Il suo uso è molto diffuso nelle realtà aziendali in cui sono implementate infrastrutture informatiche basate su prodotti e tecnologie Microsoft (reti Microsoft).” – Wikipedia
CVE-ID | CVE-2020-17143 |
CVSS | 8.8 |
Exploitation vector | Network |
Attualmente non sono presenti dal portale Microsoft exploit specifici.
In ogni caso il device LECS risponde a questa CVE, riconoscendola ed intervenendo di conseguenza per proteggere la rete, in quanto è sintomo di una possibile compromissione in corso.
LECS SOC Team