Sicurezza Informatica

Vulnerabilità critiche in Zimbra, Ivanti e router DrayTek

da Livio Varriale
scritto da Livio Varriale 0 commenti 5 minuti leggi

Negli ultimi giorni, sono state evidenziate diverse vulnerabilità critiche che hanno coinvolto software, router e server email. Queste falle di sicurezza possono portare a compromissioni di dati, accesso non autorizzato e potenziali attacchi informatici su larga scala. Di seguito, una panoramica dettagliata dei recenti sviluppi e delle azioni consigliate per garantire la sicurezza.

Annunci

CISA: nuova vulnerabilità Ivanti

La Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto una nuova vulnerabilità alla sua lista di vulnerabilità conosciute, denominata CVE-2024-29824. Questa falla riguarda una SQL Injection su Ivanti Endpoint Manager (EPM). La vulnerabilità rappresenta un punto di attacco significativo per i criminali informatici e pone rischi sostanziali alle infrastrutture federali. La CISA incoraggia tutte le organizzazioni, al di fuori del settore governativo, a risolvere tempestivamente le vulnerabilità presenti nel proprio sistema per ridurre al minimo l’esposizione agli attacchi.

Le agenzie federali devono rispettare la direttiva BOD 22-01, che richiede la risoluzione delle vulnerabilità note entro una scadenza definita. Nonostante questa direttiva sia specifica per le agenzie governative, tutte le organizzazioni sono invitate ad adottare le stesse pratiche per migliorare la sicurezza e prevenire eventuali minacce.

Due vulnerabilità critiche negli switch Optigo ONS-S8

La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha emesso un avviso riguardante due vulnerabilità critiche che affliggono i dispositivi Optigo Networks ONS-S8 Aggregation Switch, utilizzati in infrastrutture critiche e unità di produzione a livello mondiale. Queste falle permettono sia bypassare l’autenticazione che eseguire codice da remoto, rappresentando un rischio elevato per le reti in cui questi dispositivi sono utilizzati.

Dettagli delle vulnerabilità

Le vulnerabilità riscontrate riguardano due problematiche principali: autenticazione debole e validazione inadeguata dell’input dell’utente. Questo potrebbe portare a bypassare i requisiti di password, eseguire codice arbitrario, caricare file malevoli e compiere attacchi di directory traversal.

  1. CVE-2024-41925: Questa vulnerabilità è classificata come PHP Remote File Inclusion (RFI) ed è causata da un’errata validazione o sanificazione dei percorsi dei file forniti dall’utente. Un malintenzionato può sfruttare questa falla per eseguire directory traversal, bypassare l’autenticazione ed eseguire codice da remoto.
  2. CVE-2024-45367: Riguarda un problema di autenticazione debole dovuto a un meccanismo di verifica delle password non adeguatamente implementato. L’exploit di questa vulnerabilità consente a un attaccante di accedere non autorizzato all’interfaccia di gestione degli switch, modificare configurazioni, accedere a dati sensibili e spostarsi all’interno della rete.

Entrambe le vulnerabilità sono state scoperte dal team Claroty Team82 e classificate come critiche, con un punteggio CVSS v4 di 9.3. Sono presenti in tutte le versioni dei dispositivi ONS-S8 Spectra Aggregation Switch fino alla versione 1.3.7.

Azioni per la sicurezza dei dispositivi

Sebbene non siano stati ancora osservati exploit attivi di queste vulnerabilità, gli amministratori di sistema sono fortemente consigliati di adottare le seguenti misure per proteggere i dispositivi:

  1. Isolare il traffico di gestione: Posizionare il traffico di gestione degli ONS-S8 su una VLAN dedicata per separarlo dal traffico di rete normale, riducendo così l’esposizione.
  2. Connessione a OneView dedicata: Usare una NIC dedicata sul computer BMS per connettersi a OneView, garantendo accesso esclusivo e sicuro alla gestione della rete OT.
  3. Configurare il firewall: Configurare il router firewall per consentire solo l’accesso da dispositivi specifici, limitando l’accesso a OneView solo ai sistemi autorizzati.
  4. Usare una VPN sicura: Utilizzare una VPN per tutte le connessioni a OneView, assicurando comunicazioni criptate e protezione contro intercettazioni.
  5. Seguire le linee guida CISA: Adottare le linee guida di sicurezza CISA, eseguendo valutazioni del rischio, implementando sicurezza a strati (defense-in-depth) e seguendo le migliori pratiche per la sicurezza dei sistemi di controllo industriale (ICS).

Gli amministratori sono incoraggiati a segnalare attività sospette sui dispositivi ONS-S8 alle autorità competenti e a seguire i protocolli di gestione delle violazioni per garantire il monitoraggio e la correlazione con altri incidenti.

Zimbra: Vulnerabilità RCE sfruttata per attacchi su server email

Un’altra vulnerabilità critica è stata scoperta sui server email Zimbra. Tracciata come CVE-2024-45519, questa vulnerabilità di esecuzione di codice remoto (RCE) può essere sfruttata semplicemente inviando email appositamente create ai server SMTP. Gli attaccanti possono inserire comandi nel campo “CC” dell’email, che vengono eseguiti dal servizio Zimbra postjournal durante l’elaborazione dell’email. Questa vulnerabilità è stata confermata dagli esperti di sicurezza di Proofpoint, che hanno osservato attacchi in corso.

I server vulnerabili eseguono comandi tramite stringhe codificate in base64, che vengono poi decodificate ed eseguite tramite shell. Una volta compromesso, il server Zimbra può essere equipaggiato con una webshell che consente agli attaccanti di eseguire comandi remoti e caricare file per prendere il controllo completo del sistema.

Zimbra ha rilasciato aggiornamenti di sicurezza per risolvere la vulnerabilità nelle versioni 9.0.0 Patch 41 o successive e 10.0.9/10.1.1. Gli amministratori di sistema sono invitati ad aggiornare immediatamente il proprio software o a seguire le misure di mitigazione consigliate, come la disabilitazione del servizio postjournal e la corretta configurazione di “mynetworks”.

DrayTek: Risolte vulnerabilità critiche in oltre 700.000 router esposti

DrayTek ha recentemente pubblicato aggiornamenti di sicurezza per correggere 14 vulnerabilità in diversi modelli di router, tra cui una falla di esecuzione di codice remoto con un punteggio CVSS di 10. Le vulnerabilità sono state scoperte da Forescout Research – Vedere Labs e riguardano sia i router attivamente supportati che quelli fuori produzione.

Le vulnerabilità più gravi includono buffer overflow, command injection, e problemi nella gestione dei certificati TLS. Gli utenti sono invitati ad aggiornare i firmware dei loro dispositivi all’ultima versione disponibile. È stata individuata la presenza di oltre 704.500 dispositivi DrayTek con interfaccia web esposta su internet, aumentando il rischio di attacchi.

Le misure di sicurezza aggiuntive suggerite includono la disabilitazione dell’accesso remoto (se non necessario), l’uso di liste di controllo di accesso e l’autenticazione a due fattori, oltre al monitoraggio dei log per individuare eventuali attività sospette ed aggiornare agli ultimi firmware.

Potreste Essere Interessati

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il suo motto è “Coerenza, Costanza, CoScienza”.

Si può anche come

Maxi arresti: Europol, FBI e DOJ colpiscono Qakbot,...

Malware TikTok, router Cisco giù e truffe Ledger:...

UNC5221 sfrutta la falla CVE-2025-4428 in Ivanti EPMM...

Dark web: Europol arresta 270 venditori nell’Operazione RapTor

Cronaca digitale: dal ransomware 3AM alla stretta normativa...

GRU contro la logistica occidentale: una strategia di...

Logo Matrice Digitale, sicurezza, informatica, mondo digitale, confronto smartphones

Matrice Digitale è un media INDIPENDENTE sul mondo della tecnologia. Specializzato in Guerra Cibernetica, Cybersecurity e Cybercrime, Matrice Digitale realizza inchieste ed analisi OSINT esclusive.  

Leggi la trasparenza

Iscriviti alla Newsletter

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Facebook Twitter Instagram Youtube Rss Envelope

Developed with love by Giuseppe Ferrara