Nel mondo della sicurezza informatica, le vulnerabilità possono nascondersi in luoghi imprevisti. Una recente scoperta da parte di Microsoft riguarda la presenza di oltre 3.000 chiavi ASP.NET pubblicamente divulgate, che possono essere utilizzate per attacchi di iniezione di codice ViewState. Questo tipo di attacco può permettere ai hacker di eseguire codice malizioso sul server, compromettendo la sicurezza delle applicazioni web. In questo articolo, esploreremo i rischi associati a queste chiavi pubblicamente divulgate e forniremo consigli pratici per migliorare la sicurezza delle applicazioni ASP.NET.
Come Funziona l’Iniezione di Codice ViewState
Il ViewState è un meccanismo utilizzato dal framework ASP.NET per preservare i valori delle pagine e dei controlli tra le richieste di postback. Questo meccanismo utilizza una chiave di validazione e una chiave di decrittazione per proteggere i dati del ViewState contro la manipolazione e la disclosure di informazioni. Tuttavia, se queste chiavi vengono divulgate pubblicamente, i hacker possono creare un payload malizioso che viene decrittato e validato correttamente dal server, permettendo così l’esecuzione di codice malizioso.
Rischi Associati alle Chiavi Pubblicamente Divulgate
Le chiavi pubblicamente divulgate possono essere utilizzate per attacchi di iniezione di codice ViewState in diversi modi. Mentre molti attacchi precedentemente noti utilizzavano chiavi compromesse o rubate che venivano vendute su forum del dark web, le chiavi pubblicamente divulgate possono rappresentare un rischio maggiore perché sono disponibili in più repository di codice e possono essere incorporate nel codice di sviluppo senza modifiche.
Esempio di Attacco: Godzilla Post-Exploitation Framework
Nel mese di dicembre 2024, un attore non attribuito ha condotto un attacco di iniezione di codice ViewState utilizzando una chiave pubblicamente nota. Il payload malizioso ha caricato il framework di post-exploitation Godzilla, che include funzionalità come l’esecuzione di comandi maliziosi, l’iniezione di shellcode in processi e altro ancora.
Consigli per la Sicurezza delle Chiavi ASP.NET
Per evitare questi tipi di attacchi, è essenziale adottare alcune best practice di sicurezza:
- Non utilizzare chiavi pubblicamente divulgate: Questo è il consiglio più importante. Le chiavi pubblicamente divulgate possono essere facilmente accessibili ai hacker e utilizzate per creare payload maliziosi.
- Rotare regolarmente le chiavi: Le chiavi dovrebbero essere rotate regolarmente per ridurre il rischio di attacchi.
- Utilizzare Microsoft Defender for Endpoint: Questo strumento può aiutare a ridurre il rischio utilizzando la detezione di chiavi pubblicamente divulgate.
- Monitorare i file di configurazione: I file di configurazione dovrebbero essere monitorati costantemente per assicurarsi che non siano state incorporate chiavi pubblicamente divulgate.
Implementazione di Best Practice di Sicurezza
Per implementare queste best practice, i sviluppatori possono seguire questi passaggi:
- Generazione automatica delle chiavi: Le chiavi possono essere generate automaticamente e archiviate in registro, riducendo così il rischio di utilizzo di chiavi pubblicamente divulgate.
- Specificazione manuale delle chiavi: Le chiavi possono essere specificate manualmente nei file di configurazione, ma è essenziale assicurarsi che queste siano generate in modo sicuro e non divulgate pubblicamente.
- Utilizzo di strumenti di sicurezza: Strumenti come Microsoft Defender for Endpoint possono aiutare a monitorare e proteggere le chiavi, riducendo così il rischio di attacchi.
- Formazione e consapevolezza: I sviluppatori dovrebbero essere formati sulla sicurezza delle chiavi e sulla necessità di non utilizzare chiavi pubblicamente divulgate.
Le chiavi pubblicamente divulgate rappresentano un rischio significativo per la sicurezza delle applicazioni ASP.NET. È essenziale adottare best practice di sicurezza come non utilizzare chiavi pubblicamente divulgate, rotare regolarmente le chiavi e utilizzare strumenti di sicurezza per monitorare i file di configurazione. Seguendo questi consigli, i sviluppatori possono ridurre il rischio di attacchi di iniezione di codice ViewState e garantire la sicurezza delle loro applicazioni.
Fonte: https://cybersecuritynews.com/hackers-exploited-3000-asp-net-keys
