Riscontrato lo sfruttamento attivo della vulnerabilità CVE-2022-29464 nel panorama nazionale

01/06/2022

Cobalt Strike CVE-2022-29464 Kinsing WSO2

Il CERT-AgID ha riscontrato nel panorama nazionale lo sfruttamento della vulnerabilità tracciata con codice CVE-2022-29464 che interessa i seguenti prodotti WSO2:

  • API Manager
  • Identity Server
  • Identity Server Analytics
  • Identity Server as Key Manager
  • Enterprise Integrator

La vulnerabilità identificata il 18 aprile 2022, per la quale sono pubblicamente disponibili numerosi PoC di exploit oltre ad un modulo Metasploit, consente di caricare arbitrariamente file sul webserver senza necessità di essere autenticati.

Gli aggressori stanno sfruttando le web shell pubbliche scritte in JSP per caricare ulteriori file ed eseguire comandi direttamente sul server compromesso.

Nel corso di recenti analisi effettuate dal CERT-AgID si è avuta evidenza di compromissioni volte ad installare eseguibili ELF per attività di mining tramite upload ed esecuzione di script JSP. Nello specifico, gli attacchi sono finalizzati ad eseguire il malware miner “Kinsing“.

Codice utilizzato per il download e l’esecuzione di Kinsing

Recenti evidenze da parte dei ricercatori Trendmicro mettono in luce attività probabilmente volte ad installare sul sistema compromesso un beacon Cobalt Strike compatibile con ambienti Linux. È stato infatti rilevato un processo Java che effettua connessioni verso un indirizzo IP già noto ai ricercatori ed utilizzato come C2 da Cobalt Strike.

Aggiornamenti dei prodotti

Tutte le versioni dei prodotti interessati hanno ricevuto le patch correttive già nel mese di febbraio 2022.
Vista la criticità della vulnerabilità, la presenza di exploit pubblici e lo sfruttamento attivo sul territorio italiano, si consiglia di procedere con gli aggiornamenti che WSO2 ha messo a disposizione attraverso la pagina dedicata al Security Advisory.

Indicatori di comprommissione

Il CERT-AgID ha già condiviso i relativi IoC attraverso la sue piattaforme per favorirne la loro diffusione alla sua constituency ed alle PA accreditate.

Al fine di migliorare il contrasto di questa minaccia, si riportano qui di seguito gli indicatori che il CERT-AgID ha rilevato nel corso delle proprie analisi:

Link: Download IoC