Nel mondo sempre più interconnesso di oggi, le minacce informatiche continuano a evolversi e a diventare sempre più sofisticate. Una delle ultime varianti di malware, Aquabotv3, ha attirato l’attenzione degli esperti di sicurezza per la sua capacità di sfruttare una vulnerabilità nei prodotti SIP Mitel.
“L’Akamai Security Intelligence and Response Team (SIRT) ha identificato una nuova variante del malware basato su Mirai, Aquabot, che sta attivamente tentando di sfruttare i telefoni Mitel SIP. Poiché questa è la terza iterazione distinta di Aquabot, l’abbiamo soprannominata Aquabotv3”, si legge nel rapporto.
Questa nuova minaccia rappresenta un serio rischio per le infrastrutture IT e la sicurezza delle informazioni poiché questi dispositivi sono spesso presenti in aziende, uffici governativi e altre organizzazioni, il che significa che un’infezione potrebbe avere conseguenze molto gravi.
Indice degli argomenti
Aquabot, i dettagli della vulnerabilità
Aquabotv3 sfrutta una vulnerabilità di tipo command injection, identificata come CVE-2024-41710 (punteggio CVSS: 6,8), presente nei dispositivi SIP Mitel 6800, 6900 e 6900w, inclusa la Conference Unit 6970.
Questa vulnerabilità permette agli attaccanti di eseguire codice arbitrario sul dispositivo, ottenendo così privilegi di root. L’exploit di questa vulnerabilità è particolarmente preoccupante, in quanto consente agli attaccanti di prendere il controllo completo del dispositivo e di utilizzarlo per condurre attacchi Distributed Denial of Service (DDoS).
Aquabotv3: una variante evoluta
Questa terza variante di Aquabot ha la capacità di comunicare con un server di comando e controllo (C2) quando rileva determinati segnali e di evitare il rilevamento utilizzando meccanismi di offuscamento per rendere più difficile la sua identificazione da parte dei software di sicurezza.
Fonte: Akamai.
In pratica la funzione defend_binary(), configura un gestore di segnali (funzione handle_signal()) per intercettare i segnali diretti al malware in esecuzione, flaggandoli in memoria e inviando tramite una connessione TCP, un rapporto al C2 per dichiarare la tipologia del segnale intercettato (funzione report_kill()). Il tutto per tutelare l’operatività del malware.
Fonte: Akamai.
Possibili rischi
L’impatto di Aquabotv3 può essere devastante per le organizzazioni che utilizzano dispositivi Mitel vulnerabili.
Gli attacchi DDoS possono causare interruzioni significative dei servizi, con conseguenti perdite finanziarie e danni alla reputazione. Inoltre, la compromissione di dispositivi SIP Mitel può esporre informazioni sensibili a potenziali furti di dati.
Le organizzazioni devono essere consapevoli dei rischi associati a questa vulnerabilità e adottare misure proattive per proteggere i propri sistemi.
Altre evidenze indicano inoltre che gli autori della minaccia stiano offrendo la rete Aquabotv3 come servizio DDoS su Telegram con i nomi di Cursinq Firewall, The Eye Services e The Eye Botnet e che la botnet oltre a CVE-2024-41710 sfrutterebbe le vulnerabilità CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137, CVE-2023-26801 e una falla RCE per i dispositivi Linksys serie E.
Misure di prevenzione e mitigazione
Per proteggersi da Aquabotv3 e altre minacce simili è fondamentale:
- Assicurarsi che tutti i dispositivi Mitel siano aggiornati con le ultime patch di sicurezza rilasciate dal produttore.
- cambiare le credenziali predefinite dei dispositivi con password robuste.
- Configurare firewall e sistemi di filtraggio del traffico con gli Indicatori di Compromissione (IoC) pubblicati da Akamai.
- Educare il personale sulle best practice di sicurezza informatica e sull’importanza di segnalare eventuali anomalie.
Conclusione
La scoperta di Aquabotv3 e della vulnerabilità nei prodotti Mitel mette in evidenza la necessità di un approccio proattivo alla sicurezza informatica.
Le organizzazioni devono rimanere vigili e adottare misure preventive per proteggere le proprie infrastrutture IT da minacce sempre più sofisticate.
Mantenere i dispositivi aggiornati, monitorare le reti e educare il personale sono passaggi fondamentali per mitigare i rischi associati a questa nuova variante di malware.
