Il CERT-AgID ha riscontrato nel panorama nazionale lo sfruttamento da parte di attori malevoli della vulnerabilità tracciata con codice CVE-2022-29464 per veicolare il malware Kinsing. La vulnerabilità identificata il 18 aprile 2022, per la quale sono pubblicamente disponibili numerosi PoC di exploit oltre ad un modulo Metasploit, consente di caricare arbitrariamente file sul webserver senza necessità di essere autenticati.
La vulnerabilità interessa i seguenti prodotti WSO2: API Manager; Identity Server; Identity Server Analytics; Identity Server as Key Manager; Enterprise Integrator.
Gli aggressori stanno sfruttando le web shell pubbliche scritte in JSP per caricare ulteriori file ed eseguire comandi direttamente sul server compromesso.
Nel corso di recenti analisi effettuate dal CERT-AgID, infatti, sono state rilevate compromissioni volte ad installare eseguibili ELF per attività di mining tramite upload ed esecuzione di script JSP. Gli attacchi, nello specifico, sono finalizzati ad eseguire il malware miner “Kinsing”.
Inoltre, recenti evidenze da parte dei ricercatori Trendmicro hanno messo in luce attività probabilmente volte ad installare sul sistema compromesso un beacon Cobalt Strike compatibile con ambienti Linux. È stato infatti rilevato un processo Java che effettua connessioni verso un indirizzo IP già noto ai ricercatori ed utilizzato come C2 da Cobalt Strike.
Tutte le versioni dei prodotti interessati hanno ricevuto le patch correttive già nel mese di febbraio 2022.
Vista la criticità della vulnerabilità, la presenza di exploit pubblici e lo sfruttamento attivo sul territorio italiano, gli esperti del CERT-AgID consigliano di procedere con gli aggiornamenti che WSO2 ha messo a disposizione attraverso la pagina dedicata al Security Advisory.
Il CERT-AgID ha già condiviso i relativi IoC attraverso le sue piattaforme per favorirne la loro diffusione alla sua constituency ed alle PA accreditate.
