Sfruttamento di Applicazioni Esposte: Exploit Public-Facing Application (T1190)

La simulazione dello sfruttamento di applicazioni pubbliche è il cuore di ogni penetration test perimetrale. L'obiettivo è riprodurre la catena d'attacco reale: enumerazione della superficie esposta, identificazione della vulnerabilità, exploitation e verifica del post-exploitation.

La fase di discovery inizia con la mappatura dei servizi esposti. Nmap (open source) è lo strumento di riferimento per identificare porte, servizi e versioni software:

nmap -sV -sC --script=vuln -p 80,443,8443,8080,4786,161

Lo script vuln esegue controlli automatici per CVE note. Per applicazioni web, il passo successivo è il crawling e lo scanning con Nuclei (open source), un engine template-based che copre migliaia di CVE specifiche:

nuclei -u -t cves/ -severity critical,high

Questo comando lancia tutti i template relativi a CVE critiche e alte contro il target specificato. Per vulnerabilità specifiche come ProxyShell o ProxyLogon su Exchange — sfruttate da gruppi come APT41, HAFNIUM, ToddyCat e Cinnamon Tempest — esistono template dedicati che verificano gli endpoint vulnerabili senza eseguire payload distruttivi.

Per le SQL injection, sqlmap (open source) automatizza l'intero processo di discovery e exploitation:

sqlmap -u "?id=1" --batch --level=3 --risk=2 --dbs

Il flag --batch evita prompt interattivi, mentre --level e --risk regolano profondità e aggressività dei test. Gruppi come APT39, Axiom e Dragonfly hanno utilizzato SQL injection come vettore primario.

Per testare appliance VPN e firewall — obiettivi prediletti di Volt Typhoon, Fox Kitten e APT29 — OWASP ZAP (open source) permette scansioni automatizzate delle interfacce web di gestione, mentre per vulnerabilità specifiche come CVE-2018-13379 (Fortinet) o CVE-2019-19781 (Citrix) esistono moduli Metasploit (open source) dedicati:

msfconsole -q -x "use auxiliary/scanner/http/citrix_dir_traversal; set RHOSTS ; run"

Su infrastrutture ESXi, la verifica dell'esposizione OpenSLP si effettua con:

nmap -p 427 --script=slp-enum

Un aspetto critico per il red teamer: dopo l'exploitation, verificare sempre la possibilità di post-exploitation realistico. Su ambienti containerizzati, tentare l'accesso al Cloud Instance Metadata API simulando una richiesta al servizio metadata locale è un passaggio obbligatorio per dimostrare l'impatto reale del compromesso.

La detection dell'exploitation di applicazioni pubbliche si basa su una logica di correlazione multi-segnale: nessun singolo evento è sufficiente, ma la catena richiesta anomala → errore → spawn di processo sospetto → callback in uscita costituisce una firma comportamentale robusta.

Il primo livello è il monitoraggio dei log applicativi. Su Windows con IIS, i log di IIS e Sysmon sono le fonti primarie. La detection AN0219 descrive la catena: pattern sospetti nelle request HTTP (stringhe come ../, union select, ${jndi:, rO0AB per serializzazione Java, %00 per null byte injection) seguiti da un picco di errori 4xx/5xx, quindi il processo del web server — tipicamente w3wp.exe — che genera processi figlio come cmd.exe, powershell.exe o altri LOLBin.

La regola di correlazione in SIEM dovrebbe articolarsi così: definire una lista [PublicVIPs] con gli IP/hostname dei servizi esposti, applicare le regex [SuspiciousPatterns] ai log web, impostare una soglia [ErrorRateThreshold] di almeno 5 errori 5xx in 5 minuti per singolo client o URI, e correlare con eventi Sysmon EventCode 1 (Process Create) dove il processo padre corrisponde al servizio web, il tutto entro una [TimeWindow] di 15 minuti. La lista [AllowedChildList] esclude processi legittimi come msbuild.exe nei contesti CI/CD.

Su Linux (AN0220), la catena equivalente monitora i log di Apache/Nginx insieme ad auditd. I processi web da sorvegliare — la lista [WebProcList] — includono apache2, httpd, nginx, php-fpm, uwsgi, gunicorn e node. Se uno di questi genera processi dalla [ChildToolList] come sh, bash, curl, wget, python, perl, socat o nc, si attiva l'alert. La correlazione con i flow di rete (NSM) chiude il cerchio identificando callback verso IP esterni.

Per ambienti containerizzati (AN0222), monitorare gli eventi Docker e i log dell'ingress controller Kubernetes. Un segnale critico è qualsiasi accesso all'endpoint metadata cloud (IP 169.254.169.254) da parte di un container Internet-facing. Per ESXi (AN0224), verificare che le interfacce di management siano raggiungibili solo da CIDR amministrativi autorizzati ([MgmtCIDR]) e correlare errori nei log hostd o vpxd con connessioni in uscita anomale.

I falsi positivi principali derivano da scanner di sicurezza legittimi e da CI/CD pipeline. Una whitelist degli IP degli scanner autorizzati e della [AllowedChildList] riduce drasticamente il rumore senza compromettere la copertura.

L'analisi forense di un'intrusione tramite applicazione pubblica segue un percorso che parte dal perimetro e si muove verso l'interno. L'artefatto più critico è il log del web server, che contiene la traccia diretta dell'exploitation.

Su Windows con IIS, i log si trovano tipicamente nel percorso *C:\inetpub\logs\LogFiles*. Cercare richieste POST anomale verso endpoint noti per essere vettori di exploitation: /_layouts/15/ToolPane.aspx per SharePoint (come nella campagna SharePoint ToolShell Exploitation, C0058), /owa/auth/ e /ecp/ per Exchange (ProxyShell, ProxyLogon), o path con pattern di traversal. Lo strumento Log Parser (gratuito, Microsoft) permette query SQL-like sui log IIS:

LogParser "SELECT date, time, cs-uri-stem, cs-uri-query, sc-status, cs(User-Agent) FROM WHERE sc-status >= 400 ORDER BY date, time" -i:IISW3C

Parallelamente, i log Sysmon forniscono la genealogia dei processi. Filtrare per EventCode 1 con ParentImage corrispondente a w3wp.exe rivela i comandi eseguiti dall'attaccante dopo l'exploitation. Durante la campagna C0017, APT41 sfruttò CVE-2021-44228 (Log4Shell) e vulnerabilità di USAHerds per compromettere reti governative statali statunitensi: l'artefatto distintivo era la catena java.exe → cmd.exe → powershell.exe nei log di processo.

Su Linux, i log Apache (access.log e error.log) e i log di auditd costituiscono le fonti primarie. Il comando:

ausearch -m EXECVE --start | aureport -x --summary

restituisce un riepilogo dei comandi eseguiti nel periodo investigato. Per individuare webshell depositate dopo l'exploitation — un pattern comune in campagne come Cutting Edge (C0029) dove furono sfruttate vulnerabilità Ivanti — esaminare file creati nelle directory web con timestamp successivi all'ultima deployment legittima:

find /var/www/ -type f -newer /var/www/ultimo-deploy-legittimo -name ".php" -o -name ".jsp" -o -name ".aspx"*

Per appliance come Fortinet o Cisco — compromesse in campagne come ArcaneDoor (C0046), FrostyGoop Incident (C0041) e nell'attività di Salt Typhoon — l'analisi richiede l'esportazione dei log di sistema e la correlazione con i flow di rete catturati a livello perimetrale. Su FortiGate, il malware COATHANGER e BOLDMOVE venivano installati post-exploitation: cercare modifiche anomale ai filesystem delle appliance e processi non standard nei dump di memoria.

La timeline finale dovrebbe correlare quattro fonti: log web (request malevola), log di processo/auditd (execution post-exploit), log di rete (callback C2), e artefatti filesystem (webshell, tool scaricati). Strumenti come Plaso/log2timeline (open source) permettono di fondere queste fonti in una supertimeline ordinata cronologicamente.

Con 42 gruppi che impiegano questa tecnica, T1190 è uno dei vettori di Initial Access più trasversali nel panorama threat. L'analisi dei pattern rivela cluster geografici, settoriali e operativi che permettono di anticipare le prossime mosse degli avversari.

Volt Typhoon (G1017) rappresenta il paradigma dell'attore state-sponsored cinese focalizzato su infrastruttura di rete. La sua superficie d'attacco preferita comprende appliance Fortinet, Ivanti, NETGEAR, Citrix e Cisco. La campagna Versa Director Zero Day Exploitation (C0039) ha dimostrato la capacità di sviluppare e impiegare zero-day (CVE-2024-39717) contro controller SD-WAN di service provider, con l'obiettivo di raggiungere i clienti a valle. La campagna Quad7 Activity (C0055) mostra un modello complementare: compromissione massiva di router SOHO per costruire reti di relay operativo (ORB) utilizzate per password spraying. Le reti ORB sono un elemento ricorrente: SPACEHOP Activity (C0052) e FLORAHOX Activity (C0053) documentano infrastrutture ORB ibride usate da attori China-nexus come APT5, Ke3chang e ZIRCONIUM.

Sandworm Team (G0034) e APT28 (G0007), entrambi attori russi, mostrano approcci distinti. Sandworm colpisce servizi come EXIM su Linux, mentre APT28 combina exploit Exchange (CVE-2020-0688, CVE-2020-17144) con SQL injection. APT29 (G0016), nella campagna SolarWinds Compromise (C0024), ha utilizzato T1190 come meccanismo di re-accesso sfruttando CVE-2020-0688 su Exchange dopo la compromissione supply chain iniziale — un pattern di ridondanza del vettore d'accesso tipico di attori sofisticati.

Il cluster iraniano è particolarmente attivo: Magic Hound (G0059) combina Log4Shell, ProxyShell e Fortinet; Fox Kitten (G0117) si concentra sulle VPN (Fortinet, PulseSecure, Palo Alto); la campagna HomeLand Justice (C0038) contro l'Albania ha utilizzato CVE-2019-0604 su SharePoint come punto d'ingresso per un'operazione distruttiva con wiper, dimostrando che T1190 non è solo vettore di spionaggio ma anche di sabotaggio.

Il trend emergente è l'espansione verso target non tradizionali: il framework AI Ray (campagna ShadowRay, C0045 — CVE-2023-48022), router SOHO per botnet ORB, e controller industriali come nel FrostyGoop Incident (C0041). La convergenza tra ransomware (Play, BlackByte, INC Ransom, Storm-0501, Medusa Group) e APT nell'uso di T1190 rende la prioritizzazione del patching perimetrale un imperativo strategico trasversale a qualsiasi modello di minaccia.

Framework MITRE ATT&CK: T1190 (Exploit Public-Facing Application), TA0001 (Initial Access). Campagne: C0002, C0012, C0014, C0017, C0018, C0024, C0027, C0029, C0038, C0039, C0041, C0045, C0046, C0048, C0049, C0052, C0053, C0055, C0058. Tool di detection: Nmap, Nuclei, sqlmap, OWASP ZAP, Metasploit, Log Parser, Plaso/log2timeline, auditd. Integrato con conoscenza professionale per tool e procedure operative.